Eliminacion Rootkit.Agent y Backdoor.Bot (SOLUCIONADO)

[msc hotline sat]

Sí, los datos que hay al respecto indican que es un malware:



http://www.prevx.com/filenames/X1191258082666819400-X1/SECUPDAT.DAT.html



aunque lo que necesitaríamos es el fichero, pero igual al eliminar la clave ya no se pone en marcha y asi lo piedes ver y enviarnoslo...



hazlo y reinicia, luego mira si lo puedes enviar con lo ya indicado



saludos



ms, 29-11-2009

[Fiq]

He borrado las dos claves que habia en el registro que se referian a ese archivo (ambas en una carpeta llamada MRU).

reinicie de nuevo en modo a prueba de fallos, comprobe que en el registro no habia ninguna otra clave referida a ese archivo y sigue sin dejarme moverlo/renombrarlo con el elimover...
[quote] (29-11-2009 17:00:36)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR
[/quote]

tampoco me deja subirlo a lo de virustotal para que lo analicen (por si os servia).



Y si pruebo con el escaner online ese que has puesto en el vinculo anterior (o el anterior)?

[msc hotline sat]

Y qué me dices de detener los procesos, desde el Administrador de Tareas, pero pulsando en la pestaña de Procesos, dinos si ves alguno de ellos y si es el caso detenlos.



Por lo menos ya no es lanzado desde esta clave, pero puede serlo desde otras partes, por ejemplo desde otro proceso..., dinos si solo ves uno como decias o ya ves mas



saludos



ms, 29-11-2009

[Fiq]

Ya lo he vuelto a intentar y sigo viendo los mismos procesos que ya habia puesto...


[quote="Fiq"]los unicos procesos que veo con el administrador de tareas son:

http://img194.imageshack.us/i/procesosr.jpg/



como borro las claves que me indica? en el HJT no aparecen y es el unico sitio (aparte del log del sproces) donde he visto que aparezcan asi...



PD: lo de agregar los log de texto, sigo sin entender a que se refiere (para cuando son muy grandes). Quiere decir que los intente subir a megaupload o algo asi?[/quote]

[msc hotline sat]

Pues vamos a hacer caso a julibaga, y vamos a dar una oportunidad al unlocker.



Descarga dicha utilidad y mira si puedes liberar a los dos procesos de marras, voy a buscar link y sigo



Ahí tienes:



http://www.utilidades-utiles.com/descargar-unlocker.html



lo malo es que no queríamos eliminar los ficheros, solo detener sus procesos, para asi podernoslo enviar, pero en vistas que se resiste, vamos a solucionar el problema matando, contra nuestro gusto, pero ...



saludos



ms, 29-11-2009





NOTA: Son estos dos:



C:\WINDOWS\system32\secupdat.dat

C:\WINDOWS\system32\drivers\ndisvvan.sys





y recuerda, si puedes solo detener el proceso y enviar los ficheros, mucho mejor !. ms.

[Fiq]

el unlocker sigue haciendo lo que al principio:

dice que no esta bloqueado y te da la opcion de aplicar la eliminacion, a continuacion dice que no ha conseguido eliminarlo y que lo hara en el proximo reinicio. Al reiniciar siguen ahi los archivos.



Las claves del registro que habia borrado reaparecen al reiniciar... ¿habra algun programa vinculado con esos archivos que las reescribe?

[msc hotline sat]

Pues si que se resiste el condenado !



Voy a ver qué mas se dice de ello en Internet, y si mientras julibaga aparece, que es quien en privado me sugirió lo del unlocker, a ver qué mas se le ocurre



luego sigo.

[msc hotline sat]

A ver, probemos por otro lado, descarga el ELIMD5 y aplicale este hash:



The file NDISVVAN.SYS (Rootkit.Agent/Gen-NDISIOFake) has also been observed as the following filenames.

NDISVVAN.SYS has an MD5 Hash of : F7A43D2129B989EB7444642764D93406



a ver si lo detecta y lo mueve a C:\muestras !



ELIMD5



http://www.zonavirus.com/descargas/elimd5.asp



saludos



ms, 29-11-2009







y te dejo, que juega el Barça con el Madrid ! :mrgreen:

[Fiq]

no hubo suerte:
[quote]Sun Nov 29 19:53:11 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6072

Nº Total de Ficheros: 53462

Nº de Ficheros Analizados: 53462

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0[/quote]

[msc hotline sat]

Bueno, ya ganó el Barça al Madrid, seguimos...



A ver, le pusiste el MD5 ??? no dice fichero no encontrado, voy a probarlo yo en mi ordenador a ver si lo ha de decir o no



Efectivamente, no me lo ha encontrado y no indica nada de nada, no recordaba si decia fichero no encontrado ai era el caso.



Bueno pues no es tampoco accesible para lectura, seguro que es porque el rootkit está activo... lanzaste un FIXMBR ??? en cualquier caso, repitelo y a continuacion arranca en modo seguro y a ver si asi, lanzando el ELIMOVER los ve y copia a C:\muestras



Una vez tengamos las muestras, ya las monitorizaremos y haremos nosotros lo que proceda, pero sin ellas, vamos dando palos de ciego... pero desde luego, es duro de pelar!



saludos



ms, 29-11-2009

[msc hotline sat]

Buscando en internet al respecto de malware que usen estos nombres, vemos en http://www.quickheal.co.in/alerts/aug09/alerts-TrjnDwnldr-Losabel-axg.asp#4 esto:


[quote]

TrojanDownloader.Losabel.axg arrives on a system as a file dropped by other malware, or downloaded by an unsuspecting user when visiting malicious Web sites.



Malware Type : Trojan

Alias : TR/Crypt.XPACK.Gen [Avira], W32/Checkout [McAfee]

System Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Risk Rating : Low







Back to Top

Description

When TrojanDownloader.Losabel.axg is executed, it performs the following activities:



After execution it creates below mentioned files:



%System%\mcvsvm.exe

%System%\secupdat.dat

%User profile%\otoenr.exe

%System%\drivers\ndisvvan.sys

%System%\drivers\jypswutq.sys

%Temp%\{Two random digit}.exe

%Temp%\{Three random digit}.exe



It creates/modifies below registry entries:



Mcafee Service Monitor = "mcvsvm.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run



DisplayName = "Service"

ImagePath = "system32\DRIVERS\ndisvvan.sys"

HKLM\System\CurrentControlSet\Services\Passthru



ImagePath = "System32\Drivers\jypswutq.sys"

HKLM\System\CurrentControlSet\Services\jypswutq



Userinit = "%System%\userinit.exe,%User profile%\otoenr.exe \s"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon



This worm modifies the HOSTS file, which contains host name to IP address

mappings to block the access to those websites. The said file is located at below location:



%System%\drivers\etc\hosts



It adds below string to the hosts file:



127.0.0.1 msnfix.changelog.fr

127.0.0.1 www.incodesolutions.com

127.0.0.1 virusinfo.prevx.com

127.0.0.1 download.bleepingcomputer.com

127.0.0.1 www.dazhizhu.cn

127.0.0.1 www.nabble.com

127.0.0.1 lurker.clamav.net

127.0.0.1 lexikon.ikarus.at

127.0.0.1 research.sunbelt-software.com

127.0.0.1 www.virusdoctor.jp

127.0.0.1 www.elitepvpers.de

127.0.0.1 www.superuser.co.kr

127.0.0.1 ntfaq.co.kr

127.0.0.1 v.dreamwiz.com

127.0.0.1 cit.kookmin.ac.kr

127.0.0.1 forums.whatthetech.com

127.0.0.1 forum.hijackthis.de

127.0.0.1 www.huaifai.go.th

127.0.0.1 www.mostz.com

127.0.0.1 www.krupunmai.com

127.0.0.1 www.cddchiangmai.net

127.0.0.1 forum.malekal.com

127.0.0.1 tech.pantip.com

127.0.0.1 sapcupgrades.com

127.0.0.1 www.247fixes.com

127.0.0.1 forum.sysinternals.com

127.0.0.1 forum.telecharger.01net.com

127.0.0.1 sophos.com

127.0.0.1 foros.softonic.com

127.0.0.1 avast-home.uptodown.com

127.0.0.1 www.f-secure.com

127.0.0.1 www.chkrootkit.org

127.0.0.1 diamondcs.com.au

127.0.0.1 www.rootkit.nl

127.0.0.1 www.sysinternals.com

127.0.0.1 z-oleg.com

127.0.0.1 espanol.dir.groups.yahoo.com

127.0.0.1 www.castlecrops.com

127.0.0.1 www.misec.net

127.0.0.1 safecomputing.umn.edu

127.0.0.1 www.antirootkit.com

127.0.0.1 www.greatis.com

127.0.0.1 ar.answers.yahoo.com

127.0.0.1 www.rootkit.com

127.0.0.1 www.pctools.com

127.0.0.1 www.pcsupportadvisor.com

127.0.0.1 www.resplendence.com

127.0.0.1 www.personal.psu.edu

127.0.0.1 foro.ethek.com

127.0.0.1 vil.nail.comm

127.0.0.1 search.mcafee.com

127.0.0.1 wwww.mcafee.com

127.0.0.1 download.nai.com

127.0.0.1 wwww.experts-exchange.com

127.0.0.1 www.bakunos.com

127.0.0.1 www.darkclockers.com

127.0.0.1 www.Merijn.org

127.0.0.1 www.spywareinfo.com

127.0.0.1 www.spybot.info

127.0.0.1 www.viruslist.com

127.0.0.1 www.hijackthis.de

127.0.0.1 www.f-secure.com

127.0.0.1 forum.kaspersky.com

127.0.0.1 majorgeeks.com

127.0.0.1 www.avp.com

127.0.0.1 www.virustotal.com

127.0.0.1 www.sophos.com

127.0.0.1 linhadefensiva.uol.com.br

127.0.0.1 cmmings.cn

127.0.0.1 www.sergiwa.com

127.0.0.1 www.avg-antivirus.net

127.0.0.1 www.kaspersky-labs.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.bleepingcomputer.com

127.0.0.1 www.free.grisoft.com

127.0.0.1 alerta-antivirus.inteco.es

127.0.0.1 securityresponse.symantec.com

127.0.0.1 www.analysis.seclab.tuwien.ac.at

127.0.0.1 www.symantec.com

127.0.0.1 www.kztechs.com

127.0.0.1 ad-aware-se.uptodown.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 www.box.net

127.0.0.1 www.mcafee.com

127.0.0.1 www.free.avg.com

127.0.0.1 download.mcafee.com

127.0.0.1 mast.mcafee.com

127.0.0.1 www.tecno-soft.com

127.0.0.1 ladooscuro.es

127.0.0.1 ftp.drweb.com

127.0.0.1 guru0.grisoft.cz

127.0.0.1 guru1.grisoft.cz

127.0.0.1 guru2.grisoft.cz

127.0.0.1 guru3.grisoft.cz

127.0.0.1 download.bleepingcomputer.com

127.0.0.1 it.answers.yahoo.com

127.0.0.1 guru4.grisoft.cz

127.0.0.1 guru5.grisoft.cz

127.0.0.1 www.virusspy.com

127.0.0.1 www.download.f-secure.com

127.0.0.1 www.malwareremoval.com

127.0.0.1 forums.cnet.com

127.0.0.1 hjt-data.trend-braintree.com

127.0.0.1 www.pantip.com

127.0.0.1 secubox.aldria.com

127.0.0.1 www.forospyware.com

127.0.0.1 www.manuelruvalcaba.com

127.0.0.1 www.zonavirus.com

127.0.0.1 www.siteadvisor.com

127.0.0.1 blog.threatfire.com

127.0.0.1 www.threatexpert.com

127.0.0.1 blog.hispasec.com

127.0.0.1 www.configurarequipos.com

127.0.0.1 sosvirus.changelog.fr

127.0.0.1 mailcenter.rising.com.cn

127.0.0.1 mailcenter.rising.com

127.0.0.1 www.rising.com.cn

127.0.0.1 www.rising.com

127.0.0.1 www.babooforum.com.br

127.0.0.1 www.runscanner.net

127.0.0.1 sosvirus.changelog.fr

127.0.0.1 upload.changelog.fr

127.0.0.1 www.raymond.cc

127.0.0.1 changelog.fr

127.0.0.1 www.pcentraide.com

127.0.0.1 atazita.blogspot.com

127.0.0.1 www.final4ever.com

127.0.0.1 files.filefont.com

127.0.0.1 www.infos-du-net.com

127.0.0.1 www.trendsecure.com

127.0.0.1 forum.hardware.fr

127.0.0.1 www.utilidades-utiles.comwww.spychecker.com

127.0.0.1 www.geekstogo.com

127.0.0.1 forums.maddoktor2.com

127.0.0.1 www.smokey-services.eu

127.0.0.1 www.clubic.com

127.0.0.1 www.linhadefensiva.org

127.0.0.1 download.sysinternals.com

127.0.0.1 www.pcguide.com

127.0.0.1 www.thetechguide.com

127.0.0.1 www.ozzu.com

127.0.0.1 www.changedetection.com

127.0.0.1 espanol.groups.yahoo.com

127.0.0.1 community.thaiware.com

127.0.0.1 www.avpclub.ddns.info

127.0.0.1 www.offensivecomputing.net

127.0.0.1 www.grisoft.com

127.0.0.1 boardreader.com

127.0.0.1 www.guiadohardware.net

127.0.0.1 www.msnvirusremoval.com

127.0.0.1 www.cisrt.org

127.0.0.1 fixmyim.com

127.0.0.1 samroeng.hi5.com

127.0.0.1 foro.elhacker.net

127.0.0.1 www.daboweb.com

127.0.0.1 service1.symantec.com

127.0.0.1 forums.techguy.org

127.0.0.1 www.incodesolutions.com

127.0.0.1 hijackthis.download3000.com

127.0.0.1 www.cybertechhelp.com

127.0.0.1 www.superdicas.com.br

127.0.0.1 downloads.andymanchesta.com

127.0.0.1 andymanchesta.com

127.0.0.1 info.prevx.com

127.0.0.1 aknow.prevx.com

127.0.0.1 www.zonavirus.com

127.0.0.1 securitywonks.net

127.0.0.1 www.lavasoft.com

127.0.0.1 www.virscan.org

127.0.0.1 www.eeload.com

127.0.0.1 down.www.kingsoft.com

127.0.0.1 www.file.net

127.0.0.1 onecare.live.com

127.0.0.1 mvps.org

127.0.0.1 www.laneros.com

127.0.0.1 www.housecall.trendmicro.com

127.0.0.1 www.avast.com

127.0.0.1 www.free.avg.com

127.0.0.1 www.onlinescan.avast.com

127.0.0.1 www.ewido.net

127.0.0.1 www.trucoswindows.net

127.0.0.1 www.futurenow.bitdefender.com

127.0.0.1 www.bitdefender.com

127.0.0.1 www.f-prot.com

127.0.0.1 www.trendsecure.com

127.0.0.1 security.symantec.com

127.0.0.1 oldtimer.geekstogo.com

127.0.0.1 www.avira.com

127.0.0.1 www.eset.com

127.0.0.1 www.free.avg.com

127.0.0.1 www.free-av.com

127.0.0.1 kr.ahnlab.com

127.0.0.1 www.eset.com

127.0.0.1 forospyware.com

127.0.0.1 thejokerx.blogspot.com

127.0.0.1 www.2-spyware.com

127.0.0.1 www.antivir.es

127.0.0.1 www.prevx.com

127.0.0.1 www.ikarus.net

127.0.0.1 bbs.s-sos.net

127.0.0.1 www.housecall.trendmicro.com

127.0.0.1 www.superdicas.com.br

127.0.0.1 www.forums.majorgeeks.com

127.0.0.1 www.castlecops.com

127.0.0.1 www.virusspy.com

127.0.0.1 andymanchesta.com

127.0.0.1 www.kaspersky.es

127.0.0.1 subs.geekstogo.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.fortinet.com

127.0.0.1 www.safer-networking.org

127.0.0.1 www.fortiguardcenter.com

127.0.0.1 www.dougknox.com

127.0.0.1 www.vsantivirus.com

127.0.0.1 www.firewallguide.com

127.0.0.1 www.auditmypc.com

127.0.0.1 www.spywaredb.com

127.0.0.1 www.mxttchina.com

127.0.0.1 www.ziggamza.net

127.0.0.1 www.forospyware.es

127.0.0.1 www.antivirus.comodo.com

127.0.0.1 www.spywareterminator.com

127.0.0.1 www.eradicatespyware.net

127.0.0.1 www.freespywareremoval.info

127.0.0.1 www.personalfirewall.comodo.com

127.0.0.1 www.clamav.net

127.0.0.1 www.antivirus.about.com

127.0.0.1 www.pandasecurity.com

127.0.0.1 www.webphand.com

127.0.0.1 mx.answers.yahoo.com

127.0.0.1 www.securitywonks.net

127.0.0.1 www.sandboxie.com

127.0.0.1 www.clamwin.com

127.0.0.1 www.cwsandbox.org

127.0.0.1 www.ca.com

127.0.0.1 www.arswp.com

127.0.0.1 es.answers.yahoo.com

127.0.0.1 www.trucoswindows.es

127.0.0.1 www.networkworld.com

127.0.0.1 www.cddchiangmai.net

127.0.0.1 www.threatexpert.com

127.0.0.1 www.norman.com

127.0.0.1 espanol.answers.yahoo.com

127.0.0.1 www.tallemu.com

127.0.0.1 virscan.org

127.0.0.1 www.viruschief.com

127.0.0.1 scanner.virus.org

127.0.0.1 www.hijackthis.de

127.0.0.1 housecall65.trendmicro.com

127.0.0.1 www.guiadohardware.net

127.0.0.1 hjt.networktechs.com

127.0.0.1 www.techsupportforum.com

127.0.0.1 www.whatthetech.com

127.0.0.1 www.soccersuck.com

127.0.0.1 www.pcentraide.com

127.0.0.1 comunidad.wilkinsonpc.com.co

127.0.0.1 forum.piriform.com

127.0.0.1 www.tweaksforgeeks.com

127.0.0.1 www.daniweb.com

127.0.0.1 www.geekstogo.com

127.0.0.1 es.answers.yahoo.com

127.0.0.1 www.techsupportforum.com

127.0.0.1 www.pchell.com

127.0.0.1 www.spyany.com

127.0.0.1 forums.techguy.org

127.0.0.1 www.experts-exchange.com

127.0.0.1 www.wikio.es

127.0.0.1 www.pandasecurity.com

127.0.0.1 forums.devshed.com

127.0.0.1 forum.tweaks.com

127.0.0.1 www.wilderssecurity.com

127.0.0.1 www.techspot.com

127.0.0.1 www.thecomputerpitstop.com

127.0.0.1 es.wasalive.com

127.0.0.1 secunia.com

127.0.0.1 www.computing.net

127.0.0.1 discussions.virtualdr.com

127.0.0.1 forum.securitycadets.com

127.0.0.1 www.techimo.com

127.0.0.1 13iii.com

127.0.0.1 www.dicasweb.com.br

127.0.0.1 www.infosecpodcast.com

127.0.0.1 www.usbcleaner.cn

127.0.0.1 www.net-security.org

127.0.0.1 www.bleedingthreats.net

127.0.0.1 acs.pandasoftware.com

127.0.0.1 www.funkytoad.com

127.0.0.1 www.360safe.cn

127.0.0.1 www.360safe.com

127.0.0.1 bbs.360safe.cn

127.0.0.1 bbs.360safe.com

127.0.0.1 codehard.wordpress.com

127.0.0.1 forum.clubedohardware.com.br

127.0.0.1 www.360.cn

127.0.0.1 www.360.com

127.0.0.1 bbs.360safe.cn

127.0.0.1 bbs.360safe.com

127.0.0.1 www.forospyware.es

127.0.0.1 p3dev.taringa.net

127.0.0.1 www.precisesecurity.com

127.0.0.1 baike.360.cn

127.0.0.1 baike.360.com

127.0.0.1 kaba.360.cn

127.0.0.1 kaba.360.com

127.0.0.1 deckard.geekstogo.com

127.0.0.1 www.taringa.net

127.0.0.1 forums.comodo.com

127.0.0.1 www.mvps.org

127.0.0.1 down.360safe.cn

127.0.0.1 down.360safe.com

127.0.0.1 x.360safe.com

127.0.0.1 dl.360safe.com

127.0.0.1 ftp.drweb.com

127.0.0.1 www.hotshare.net

127.0.0.1 es.wasalive.com

127.0.0.1 updatem.360safe.com

127.0.0.1 updatem.360safe.cn

127.0.0.1 update.360safe.cn

127.0.0.1 update.360safe.com

127.0.0.1 www.utilidades-utiles.com

127.0.0.1 forum.kaspersky.com

127.0.0.1 bbs.duba.net

127.0.0.1 www.duba.net

127.0.0.1 zhidao.baidu.com

127.0.0.1 hi.baidu.com

127.0.0.1 www.drweb.com.es

127.0.0.1 msncleaner.softonic.com

127.0.0.1 www.javacoolsoftware.com

127.0.0.1 file.ikaka.com

127.0.0.1 file.ikaka.cn

127.0.0.1 bbs.ikaka.com

127.0.0.1 zhidao.ikaka.com

127.0.0.1 www.eset-la.com

127.0.0.1 www.eset-la.com

127.0.0.1 software-files.download.com

127.0.0.1 www.ikaka.com

127.0.0.1 www.ikaka.cn

127.0.0.1 bbs.cfan.com.cn

127.0.0.1 www.cfan.com.cn

127.0.0.1 www.pandasecurity.com

127.0.0.1 es.mcafee.com

127.0.0.1 downloads.malwarebytes.org

127.0.0.1 bbs.kafan.cn

127.0.0.1 bbs.kafan.com

127.0.0.1 bbs.kpfans.com

127.0.0.1 bbs.taisha.org

127.0.0.1 www.manuelruvalcaba.com

127.0.0.1 support.f-secure.com

127.0.0.1 bbs.winzheng.com

127.0.0.1 alerta-antivirus.inteco.es

127.0.0.1 foros.zonavirus.com

127.0.0.1 alerta-antivirus.red.es

127.0.0.1 www.zonavirus.com

127.0.0.1 www.malwarebytes.org

127.0.0.1 www.commentcamarche.net

127.0.0.1 www.ewido.net

127.0.0.1 www.infospyware.com

127.0.0.1 www.bitdefender.es

127.0.0.1 housecall.trendmicro.com

127.0.0.1 foros.toxico-pc.com

127.0.0.1 www.emsisoft.de

127.0.0.1 www.securitynewsportal.com



This trojan has rootkit capability which is used to hide itself. It kills security

related processes and registry editing tools.







Back to Top

Payload

* Modifies hosts file.





Back to Top

Solution

Disable System Restore.

Disable System Restore under Windows Me:

Point to Start, Settings, and Control Panel. Double-click 'System', then click on the 'Performance' tab. Click 'File System' then click the 'Troubleshooting' tab. Select 'Disable System Restore' and click 'Apply'. Restart your system.



Disable System Restore under Windows XP:

Point to Start, Control Panel, Performance and Maintenance. Double-click “System”, then select the System Restore tab. Select the 'Turn off System Restore” on all drives box. Click Apply. Click Yes. Restart your system.



Quick Heal users are requested to update your Anti-Virus with the latest signature pattern definitions and perform a system scan using Quick Heal Scanner.


[/quote]

Y lo del HOSTS ya lo hemos hecho, pero no hemos desactivado la restauraicon de sistema, aunque ello normalmente es para eliminar los ficheros de copia de seguridad en el RESTORE, pero por si las mosca, hazlo !



Para ello, boton derecho en MIPC -> Propiedades -> Restaurar sistema -> Marcar "Desactivar RESTAURACION DE SISTEMA"



y nos cuentas el resultado, gracias



saludos



ms, 29-11-2009

[Fiq]

eso ya lo tenia desactivado ;)

[msc hotline sat]

Bueno, a mi llegada a SATINFO vemos que el NDISVVAN lo controlamos con el ELITRIIP:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Pruebalo y posteanos el infosat.txt resultante



Luego, si conseguimos eliminar este, reinicia a ver si ya podemos acceder al secupdat.dat y nos envias muestras para analizar y controlar



saludos



ms, 30-11-2009

[msc hotline sat]

Me dicen que se ha recibido en zonavirus logs con tu nick, que han desechado.



Solo las muestras deben enviarse por mail, los informes postearlos en el foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 30-11-2009

[Fiq]

enviado el ndisvvan. Si me indicas como se agregan los iinformes cuando son muy largos, lo agradeceria, ya que no he visto ningun otro sistema que el de enviar muestras. Como pregunte mas arriba, con lo de agregar os referis a subirlo a megaupload o algo asi?



El informe del Elitrip (sin las lineas de hosts):
[quote](30-11-2009 10:51:31) (GMT)

EliTriIP v6.29 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NDISVVAN.SYS.Muestra EliTriIP v6.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\NDISVVAN.SYS --> Eliminado

Eliminado Servicio, "Passthru"

Linea Eliminada del HOSTS -->

resto de lineas de hosts...

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.malwareremovalbot.com



(30-11-2009 10:52:01) (GMT)

EliTriIP v6.29 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6071

Nº Total de Ficheros: 53519

Nº de Ficheros Analizados: 15194

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
[/quote]

[Fiq]

tras el elitrip, he comprobado que no habia ninguna linea en el registro del secupdat. He reiniciado en modo seguro y he lanzado el Elimover sin variar los resultados.
[quote](30-11-2009 11:20:43)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(30-11-2009 11:20:58)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Renombrado a .VIR[/quote]

[msc hotline sat]

No, el ELITRIIP era para el NDISVVAN, pero se trata de una nueva variante que pasamos a controlar, junto con otra que nos ha llegado tambien hoy, con la nueva version del ELITRIIP 6.30 de hoy


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 30-11-2009

[Fiq]

si el ndisvvan ya puse en el anterior que si lo borro y que esta enviado ;)

[msc hotline sat]

Sí, pero como hemos indicado se trata de una variante, que controlaremos con el ELITRIIP de hoy, pero nos queda el otro, el secupdat.dat, que aun no tenemos muestra para controlarlo.



Como que el NDISVVANT es un servicio, igual tras haberlo eliminado ya no utilizará el SECUPDAT y entonces puedes copiarlo con el ELIMOVER y enviarnoslo ...???



En todo caso mira si lo enccuentras en la ruta antes indicada C:\Documents and Settings\pilar\secupdat.dat y tambien en la carpeta de sistema, donde otras fuentes indican que se copia: C:\windows\system32\secupdat.dat , por si acaso...



saludos



ms, 30-11-2009

[Fiq]

Con esta version del elitrip borro el gusano (o eso ponia) y en el log del elitrip ponia que lo habia eliminado y movido a muestras el ndisvvan. Al ver eso hice esto:


[quote="Fiq"]tras el elitrip, he comprobado que no habia ninguna linea en el registro del secupdat. He reiniciado en modo seguro y he lanzado el Elimover sin variar los resultados.
[quote](30-11-2009 11:20:43)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(30-11-2009 11:20:58)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Renombrado a .VIR[/quote][/quote]

Y si, los archivos siguen ahi.

[msc hotline sat]

Decíamos que bajaras la nueva version del ELITRIIP 6.30 a partir de las 19 horas ...



Son solo las 15:25, (14:25 GMT) y en tu zona aun mas temprano...



tras probar la 6.30 posteanos el nuevo infosat.txt



saludos



ms, 30-11-2009





(Y mira si entonces detectas con el ELIMOVER el SECUPDAT.DAT y nos lo envias, que sino no tenemos muestra para controlarlo...)



saludos



ms, 30-11-2009

[Fiq]

esta hecho, sin cambios, aparentemente...
[quote]
(30-11-2009 19:11:11) (GMT)

EliTriIP v6.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(30-11-2009 19:11:15) (GMT)

EliTriIP v6.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6150

Nº Total de Ficheros: 53784

Nº de Ficheros Analizados: 15195

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-11-2009 19:28:49)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(30-11-2009 19:29:10)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Renombrado a .VIR
[/quote]

[msc hotline sat]

Pues voy a quemar mi ultimo cartucho actual.



Descarga el [url=ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe]cureit[/url] y lanzalo, y nos cuentas el resultado



Ahora que ya no hay el servicio del ndisvvan espero que lo logre.



saludos



ms, 30-11-2009

[Fiq]

Parece que si ha funcionado, ha borrado dos archivos:

el secupdat.dat y otro que se llamaba fbiohyba.sys (en drivers). De este segundo no sabia nada :(

[msc hotline sat]

Pues nosotros tampoco sabíamos nada de este c:\WINDOWS\SYSTEM32\DRIVERS\fbiohyba.sys, que no aparece en ningun informe ni hay nada en internet (seguro que es de nombre variable) y sin duda era el marrano que nos estaba impidiendo dicha eliminación.



Lástima, porque nos hubiera gustado disponer de muestra para analizar del mismo, y asi controlarlo para el futuro, pero bueno, por lo menos para su caso lo hemos logrado, que bastante nos ha costado :) !



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 1-12-2009