Spy.Zbot.GWQ y Spy Zbot.MSxx32 (SOLUCIONADO)

[mikelecorleone]

Hola



Soy nuevo por este foro por lo que no tengo claro si este tema lo teneis resuelto. Detectado virus "Win32/Agent.QHS", me descarge de esta pagina "ElistarA"(1.9.0.0) y la extensión "ELINOTIF.DLL" (versión 1.9.11.12) para eliminarlo. Sin embargo, cuando finalizó el analisis y limpiza de virus, apareció un mensaje de detección de sistema infectado por "Spy.Zbot.GWQ" y "Spy.Zbot.MSxx32" que no ha borrado. ¿Por que? Tambien me dice que si la extesión "ELINOTIF.DLL" puede no ser la última. Necesito otra versión para eliminar estos programas espias? Otro programa? Gracias a priori por vuestra atención. Adjunto la copia del informe INFOSAT. Como os adjunto el archivo "701A00761.DLL.Muestra EliStartPage v19.74" en un post? Gracias por adelantado





(21-11-2009 10:31:05 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\701A00761.DLL.Muestra EliStartPage v19.74

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ROMAN\DATOS DE PROGRAMA\MACROMEDIA\COMMON\701A00761.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common\701a007619.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-11-2009 10:38:21 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 10653

Nº Total de Ficheros: 109791

Nº de Ficheros Analizados: 34229

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:13:35 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\701A00761.DLL.Muestra EliStartPage v19.74

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ROMAN\DATOS DE PROGRAMA\MACROMEDIA\COMMON\701A00761.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common\701a007619.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 19:14:08 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9

Nº Total de Ficheros: 164

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(21-11-2009 19:14:56 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-11-2009 19:15:03 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:23:25 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:30:25 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 19:30:48 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10675

Nº Total de Ficheros: 110742

Nº de Ficheros Analizados: 34272

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



(21-11-2009 20:08:46 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 20:09:24 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10673

Nº Total de Ficheros: 110205

Nº de Ficheros Analizados: 34240

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

[msc hotline sat]

Pues envienos la muestra como se indica en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



y se supone que está usando las ultimas versiones , pero sino, descargueselos y use estos:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 22-11-2009

[mikelecorleone]

Os adjunto el archivo de muestras. Para eliminar los dos Spy.Zbot entonces es suficiente con ElistarA y ELINOTIF.dll?

[lucl]

Las muestras debes enviarlas con el boton de envio muestras que tienes arriba a la derecha de la pagina, por favor edita el post y envialo de nuevo con tu nick como referencia , saludos

[mikelecorleone]

Gracias. Creo que lo he enviado el archivo de muestras unas cuantas veces pero es que me pilla de novato.

[msc hotline sat]

Bueno, mañana cuando lleguemos al trabajo en SATINFO lo veremos y analizaremos, de cuyo resultado informaremos



saludos



ms, 22-11-2009





NOTA: Y a la vista de lo que dice "[b][i]No detectado SP3 de Windows XP[/i][/b]", lanza un windowsupdate e instala los parches que encuentre a faltar... ms.

[msc hotline sat]

Analizada la muestra recibida, se trata de una nueva variante del troyano Riern, que pasamos a controlar con la version de hoy del ELISTARA 19.75:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 23-11-2009

[mikelecorleone]

He probado el elistara 19.75 y ha eliminado el troyano. Solo os envio el archivo INFOSAT porque el de muestras lo ha eliminado ELISTARA porque ha detectado en el el troyano. Es lo normal???. Gracias por vuestra ayuda. Habeis sido realmente eficaces.



(21-11-2009 10:31:05 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\701A00761.DLL.Muestra EliStartPage v19.74

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ROMAN\DATOS DE PROGRAMA\MACROMEDIA\COMMON\701A00761.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common\701a007619.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-11-2009 10:38:21 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 10653

Nº Total de Ficheros: 109791

Nº de Ficheros Analizados: 34229

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:13:35 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\701A00761.DLL.Muestra EliStartPage v19.74

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ROMAN\DATOS DE PROGRAMA\MACROMEDIA\COMMON\701A00761.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common\701a007619.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 19:14:08 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9

Nº Total de Ficheros: 164

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(21-11-2009 19:14:56 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-11-2009 19:15:03 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Roman\Datos de programa\Macromedia\Common"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:23:25 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(21-11-2009 19:30:25 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 19:30:48 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10675

Nº Total de Ficheros: 110742

Nº de Ficheros Analizados: 34272

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



(21-11-2009 20:08:46 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(21-11-2009 20:09:24 (GMT))

EliStartPage v19.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10673

Nº Total de Ficheros: 110205

Nº de Ficheros Analizados: 34240

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(24-11-2009 12:10:17 (GMT))

EliStartPage v19.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado Spy.ZBot.GWQ

Eliminada Carpeta "%WinSys%\Lowsec"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-11-2009 12:12:17 (GMT))

EliStartPage v19.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\701A00761.DLL.MUESTRA ELISTARTPAGE V19.74 --> Eliminado, Trojan.Riern.A(dll)



Nº Total de Directorios: 10993

Nº Total de Ficheros: 111004

Nº de Ficheros Analizados: 34413

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues muy bien !


[quote]EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(24-11-2009 12:10:17 (GMT))

EliStartPage v19.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado Spy.ZBot.GWQ

Eliminada Carpeta "%WinSys%\Lowsec"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-11-2009 12:12:17 (GMT))

EliStartPage v19.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\701A00761.DLL.MUESTRA ELISTARTPAGE V19.74 --> Eliminado, Trojan.Riern.A(dll)[/quote]
Aparte de que vemos que dice que falta el SP3 (lanza un widnowsupdate e instalalo) por lo demas damos el Tema por solucionado y procedenos a cerrarlo



saludos



ms, 24-11-2009