posible virus

[Karise]

Hola,tengo un problemilla con el ordenador y es que desde hace unos días cuando llevo

un rato con el ordenador encendido se me abre sólo el internet explorer y me aparece una página en

japonés,es rarisimo,porque yo no le doy a nada y estoy empezando a pensar que puede tratarse de un virus

o de algo que se me ha instalado sin yo quererlo,¿qué puedo hacer?Saludos

[msc hotline sat]

Muy probable.



Pues prueba el ELISTARA a ver si conoce lo que tienes:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y si no detecta nada ni pide muestras de ningun sospechoso. prueba el SPROCES y nos posteas el informe resultante:



[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 23-9-2009

[Karise]

Hola,no he podido pasar los programas que me dices porque he visto que son para el xp y yo tengo instalado el windows 7.

Con mi antivirus avast,detecta este virus y me sale una ventana de vez en cuando para eliminarlo donde pone la información del problema,tipo de virus: win32-adware-gen y lo identifica como sofwtware publicitario,siempre le doy a eliminar pero vuelve a salir,y la página en japonés tambien,¿hay alguna otra solución que pueda utilizar con mi sistema operativo? Gracias

[msc hotline sat]

A ver, en modo seguro y como Administrador, nuestras utilidades han de funcionar con el Windows 7, como funcionan en el VISTA.



Pruebalos y posteanos los informes que te pedimos, para poder seguir ayudandote.



saludos



ms, 26-9-2009

[Karise]

Hola.Tras pasar un tiempo de viaje he vuelto y me he encontrado de nuevo con las páginas en japonés de las

que hablaba al principio del post.He pasado el elistara en modo seguro y esto es lo que ha encontrado:



(14-10-2009 10:55:14 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-10-2009 10:55:48 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Windows\System32\5A8DCC\REGEX.FNR --> Eliminado, AutoRun.EV(comp)



Nº Total de Directorios: 12091

Nº Total de Ficheros: 77579

Nº de Ficheros Analizados: 24496

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Cuando se estaba analizando me han aparecido una serie de ventanas donde ponía que no podía

acceder a unos cuantos archivos para analizarlos.

Ahora que ha borrado un archivo sospechoso estaré pendiente por si esas páginas vuelven a aparecer.

Saludos y gracias!

[msc hotline sat]

Posiblemente le pasa por entrar en alguna web que no visita cada día... recuerda si ayer visitó una de ellas ??? Conocida pero no frecuente .



Y como que se trata de un AUTORUN, no estaría de mas el vacunar el ordenador y sus unidades extraibles USB (pendrive, MP3, camaras digitales, discos duros USB, etc) con el ELIPEN:




[quote]

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 14-10-2009

[Karise]

La página vuelve a aparecer :(

Aparece de vez en cuando cuando lleva un rato el ordenador encendido aunque no esté viendo ninguna página de internet.

Ahora mismo por ejemplo la única página que he puesto es youtube y ha salido,asi que supongo que debe ser otro autorun que no ha sido borrado.

[flacoroo]

bajate esta Utilidad de investigación para visualizar procesos y modulos utilizados por los mismos.

Genera un fichero en C: llamado SPROCLOG.TXT el cuál debe copiar y pegarnos en el siguiente post.



[url=http://www.zonavirus.com/descargas/sproces.asp]Descargar Sproces[/url]

[msc hotline sat]

Parece que se trata es este:


[quote="McAfee"]
http://vil.nai.com/vil/content/v_148588.htm





McAfee > Theat Center > Virus Detail Page



W32/Autorun.worm.dqType

VirusSubType Worm

Discovery Date 07/31/2008

Length Varies

Minimum DAT 5351 (07/31/2008)

Updated DAT 5758 (10/01/2009)

Minimum Engine 5.2.00

Description Added 07/31/2008

Description Modified 01/05/2009 6:06 AM (PT)



Type

Type of threat.



SubType Additional type information.



Discovery Date Date that AVERT discovered this threat.



Length File size, in bytes, of the threat.



Minimum DAT McAfee DAT files contain detection and repair information for threats. The Minimum DAT field specifies the lowest/oldest DAT version that is capable of detecting the first incarnation of a threat, and the release date. The highest/newest DAT version should always be used for the most complete protection and are available on the Anti-Virus Updates page.

Each description displays the minimum, fully tested, DAT version that includes regular detection for a particular threat. These fully tested DATs are released on a daily basis. If necessary, they are also released when a Medium, Medium On Watch, or High risk threat is discovered. An EXTRA.DAT will also be posted for these more prevalent threats, if necessary.

For each description listed, detection is always available. In the event that the DAT version specified is not yet available, an EXTRA.DAT file may be downloaded via the McAfee AVERT Extra.dat Request Page. Alternatively, minimally tested HOURLY BETA DAT files are available for downloading.



Updated DAT McAfee DAT files are constantly being updated to enhance detection capabilities. The Updated DAT field specifies the released DAT version that contains the most up to date detection.



Minimum Engine The scan engine uses the DAT files to detect threats. The Minimum Engine field specifies the lowest/oldest engine version that is capable of detecting this threat. The highest/newest engine version should always be used for the most complete protection and are available on the Anti-Virus Updates page.



Description Added Date/time this description was published using Pacific Time.



Description Modified Date/time this description was last modified using Pacific Time.



Risk Assessment

Corporate UserLow

Home UserLow Tab Navigation

Overview Characteristics Symptoms Method of Infection Removal Variants All Information OverviewThis detection is for a worm that spreads by copying itself to fixed and removable drives, and places an autorun.inf file in the same location to automatically execute itself.



AliasesTrojan-Dropper.Win32.Flystud.ko(F-Secure)Trojan-Dropper.Win32.Flystud.ko(Kaspersky)W32/Nuj.A.gen!Eldorado(Authentium)Worm.Win32.Autorun.eyr(Rising)



Characteristics

This worm on execution creates a folder in the system directory and copies itself

• %system%\random name (folder)\randomname.exe

It then creates a folder in temp directory & random named folder in the system directory and drops some non-malicious files in them:

• %Temp%\E_4\com.run

• %system%\randomname(folder)\com.run

• %Temp%\E_4\dp1.fne

• %system%\randomname(folder)\dp1.fne

• %Temp%\E_4\eAPI.fne

• %system%\randomname(folder)\eAPI.fne

• %Temp%\E_4\internet.fne

• %system%\randomname(folder)\internet.fne

• %Temp%\E_4\krnln.fnr

• %system%\randomname(folder)\krnln.fnr

• %Temp%\E_4\RegEx.fnr

• %system%\randomname(folder)\RegEx.fnr

• %Temp%\E_4\shell.fne

• %system%\randomname(folder)\shell.fne

• %Temp%\E_4\spec.fne

• %system%\randomname(folder)\spec.fne



It will also add the following registry entry to load itself at system startup:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

This worm infects removable drives. It drops copies of itself as (name of the folder).exe. It then sets the attribute of the original folder to Hidden to trick the user to believe the dropped file as legitimate.

It also drops an AUTORUN.INF file to automatically execute, if the autorun feature is enabled on the target machine. It also drops a file called Recycled.exe







SymptomsThis symptoms of this detection are the files, registry entry referenced in the characteristics section.



Method of Infection

This worm may spread by its intented method of infected removable drives or network shares.

Alternatively this may be installed by visiting a malicious web page either by clicking on a link, or by the website hosting a scripted exploit which installs the worm onto the user's system with no user interaction.





Removal

A combination of the latest DATs and the Engine will be able to detect and remove this threat. AVERT recommends users not to trust seemingly familiar or safe file icons, particularly when received via P2P clients, IRC, email or other media where users can share files.

Additional Windows ME/XP removal considerations





VariantsVariantsN/A



All Information

Overview -

This detection is for a worm that spreads by copying itself to fixed and removable drives, and places an autorun.inf file in the same location to automatically execute itself.



Aliases

•Trojan-Dropper.Win32.Flystud.ko(F-Secure)

•Trojan-Dropper.Win32.Flystud.ko(Kaspersky)

•W32/Nuj.A.gen!Eldorado(Authentium)

•Worm.Win32.Autorun.eyr(Rising)



Characteristics





This worm on execution creates a folder in the system directory and copies itself

• %system%\random name (folder)\randomname.exe



It then creates a folder in temp directory & random named folder in the system directory and drops some non-malicious files in them:



• %Temp%\E_4\com.run

• %system%\randomname(folder)\com.run

• %Temp%\E_4\dp1.fne

• %system%\randomname(folder)\dp1.fne

• %Temp%\E_4\eAPI.fne

• %system%\randomname(folder)\eAPI.fne

• %Temp%\E_4\internet.fne

• %system%\randomname(folder)\internet.fne

• %Temp%\E_4\krnln.fnr

• %system%\randomname(folder)\krnln.fnr

• %Temp%\E_4\RegEx.fnr

• %system%\randomname(folder)\RegEx.fnr

• %Temp%\E_4\shell.fne

• %system%\randomname(folder)\shell.fne

• %Temp%\E_4\spec.fne

• %system%\randomname(folder)\spec.fne



It will also add the following registry entry to load itself at system startup:



• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run



This worm infects removable drives. It drops copies of itself as (name of the folder).exe. It then sets the attribute of the original folder to Hidden to trick the user to believe the dropped file as legitimate.



It also drops an AUTORUN.INF file to automatically execute, if the autorun feature is enabled on the target machine. It also drops a file called Recycled.exe







Symptoms



This symptoms of this detection are the files, registry entry referenced in the characteristics section.



Method of Infection





This worm may spread by its intented method of infected removable drives or network shares.



Alternatively this may be installed by visiting a malicious web page either by clicking on a link, or by the website hosting a scripted exploit which installs the worm onto the user's system with no user interaction.[/quote]

________





En este caso la carpeta



[b][i]

"This worm on execution creates a folder in the system directory and copies itself

• %system%\random name (folder)\randomname.exe"[/i][/b]



donde ha copiado los ficheros malware es:



C:\Windows\System32\5A8DCC\



por lo que puedes enviarnos los ficheros contenidos en ella para analizar, y añadirles la extension .VIR para que no se pongan en uso tras el proximo reinicio







y lo que deciamos del ELIPEN, helo aqui porqué:



[b][i]"This worm infects removable drives. It drops copies of itself as (name of the folder).exe. It then sets the attribute of the original folder to Hidden to trick the user to believe the dropped file as legitimate.



It also drops an AUTORUN.INF file to automatically execute, if the autorun feature is enabled on the target machine. It also drops a file called Recycled.exe"[/i][/b]





y fijese que le puede entrar por otros ordenadores en red, ademas de por internet y unidades removibles o simplemente por visitar webs infectadas:



[b][i]Method of Infection -



This worm may spread by its intented method of infected removable drives or network shares.



Alternatively this may be installed by visiting a malicious web page either by clicking on a link, or by the website hosting a scripted exploit which installs the worm onto the user's system with no user interaction.[/i][/b]



Cuando postees el informe del SPROCES indicado por flacoroo, podremos ver algo mas para que puedas "ir tirando", y una vez nos hayas enviado las muestras, las analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades. de lo cual informaremos



saludos



ms, 16-10-2009

[Karise]

Acabo de enviaros las muestras de los archivos que me indicais.Al principio no encontraba la carpeta

porque estaba oculta.Voy a pasar el sproces y enviaros el informe.

[msc hotline sat]

Si, hicimos el ELIMOVER para estos casos, e indicando ruta y nombre, copia los ficheros que se indiquen a C:\muestras e incluso los puede renombrar a extension .VIR si se marca la casilla:



Para otra ocasion:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



Esta tarde analizaremos los ficheros que se reciban e informaremos



saludos



ms, 22-10-2009

[msc hotline sat]

Preanalizada la muestra recibida, es efectivamente un troyano de la familia Swizzor que pasaremos a controlar con el ELISTARA



De momento dejala en C:\muestras y se supone que has indicado al ELIMOVER que añada extension .VIR al fichero original, sino hazlo



Cuando se haya monitorizado, se implementará su control y eliminacion en el ELISTARA, pero no creo que sea hoy ya que hay mucha cola delante de él.



Pero añadiendo la extension .VIR al fichero original, tras reiniciar ya no se pondrá en uso y dejará de incordiar.



saludos



ms, 22.10.2009

[msc hotline sat]

A partir de la version de hoy del ELISTARA, 19.53, se controlará esta nueva variante de NAVIPROMO, no detectada todavía por muchos antivirus:



File Move_Ante_Mapi.exe.Muestra_EliMov received on 2009.10.26 09:55:39 (UTC)

Current status: finished



Result: 14/41 (34.15%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.41 2009.10.26 Trojan.Win32.Obfuscated!IK

AhnLab-V3 5.0.0.2 2009.10.23 -

AntiVir 7.9.1.44 2009.10.26 -

Antiy-AVL 2.0.3.7 2009.10.26 -

Authentium 5.1.2.4 2009.10.25 -

Avast 4.8.1351.0 2009.10.25 Win32:SwizBased-gen

AVG 8.5.0.423 2009.10.25 -

BitDefender 7.2 2009.10.26 Trojan.Generic.2594095

CAT-QuickHeal 10.00 2009.10.26 -

ClamAV 0.94.1 2009.10.26 -

Comodo 2737 2009.10.26 -

DrWeb 5.0.0.12182 2009.10.26 Trojan.Swizzor.based

eSafe 7.0.17.0 2009.10.25 -

eTrust-Vet 35.1.7082 2009.10.23 Win32/Swizzor!generic

F-Prot 4.5.1.85 2009.10.25 -

F-Secure 9.0.15370.0 2009.10.22 -

Fortinet 3.120.0.0 2009.10.26 -

GData 19 2009.10.26 Trojan.Generic.2594095

Ikarus T3.1.1.72.0 2009.10.26 Trojan.Win32.Obfuscated

Jiangmin 11.0.800 2009.10.26 -

K7AntiVirus 7.10.879 2009.10.24 -

Kaspersky 7.0.0.125 2009.10.26 -

McAfee 5782 2009.10.25 -

McAfee+Artemis 5782 2009.10.25 Artemis!CB619A6B000B

McAfee-GW-Edition 6.8.5 2009.10.26 -

Microsoft 1.5202 2009.10.26 -

NOD32 4542 2009.10.26 a variant of Win32/TrojanDownloader.Swizzor.NCV

Norman 6.03.02 2009.10.23 W32/Swizzor.FGAM

nProtect 2009.1.8.0 2009.10.26 -

Panda 10.0.2.2 2009.10.25 Trj/CI.A

PCTools 4.4.2.0 2009.10.19 -

Prevx 3.0 2009.10.26 Low Risk Adware

Rising 21.53.02.00 2009.10.26 Trojan.DL.Win32.Swizzor.dtp

Sophos 4.46.0 2009.10.26 -

Sunbelt 3.2.1858.2 2009.10.25 Trojan.Win32.Obfuscated.Gen (v)

Symantec 1.4.4.12 2009.10.26 -

TheHacker 6.5.0.2.053 2009.10.24 -

TrendMicro 8.950.0.1094 2009.10.26 -

VBA32 3.12.10.11 2009.10.23 -

ViRobot 2009.10.26.2005 2009.10.26 -

VirusBuster 4.6.5.0 2009.10.25 -

Additional information

File size: 430080 bytes

MD5 : cb619a6b000b906569159eaab1776308

SHA1 : adad4b7328a1f19dceeea794184e86a4c4d00b3b





Fijarse que NO LO CONTROLAN ni AVG, ni F-Prot, ni Kaspersky, ni Microsoft, ni Sophos ni Symantec, ni Trend, de entre los antivirus conocidos, asi que mucho cuidado si se usa alguno de dichos antivirus, ya que pasaría desapercibido.



A partir del ELISTARA Ade hoy, 19.53 ya lo controlará y eliminará.



saludos



ms, 26-10-2009

[Karise]

Ya está borrado! Muchisimas gracias por vuestra ayuda!! :wink:

[lucl]

Nos puedes pegar el log de infosat para que quede para el historico del foro? Gracias y saludos.

[msc hotline sat]

Sí, gracias lucl !



Dicho fichero está en C:\infosat.txt.



Abrelo con el Bloc de Notas y copias/pegas su contenido en tu proximo post, tras lo cual y procederemos a cerrar el Tema, gracias



saludos



ms, 31-10-2009