TROYANO EN WINDOWS SYSTEM 32 (TERMINADO)

carlosmet9 · Mensaje por **carlosmet9** » 07 Ene 2010, 20:17

Amigos :

SINTOMAS: PC e Internet lentos , en Internet no puedo usar el filtro smart-screen ni entrar a herramientas-propiedades de internet

de acuerdo con los logs.que adjunto abajo tengo un troyano

[u]~~[b]~~C:\WINDOWS\system32\ynbiokoe.dll Infected: Trojan.Win32.BHO.aaxy [/b][/u]

Preguntas:

1) ya lo puedo eliminar manualmente con fileassasin u otro programa?Es decir , no afectaría el funcionamiento de windows ?

2) como alternativa , puedo copiar esa libreria en otro equipo y copiarlo al mio ?(o se trata de un elemento innecesario y peligroso ? )

Sintomas : pc lenta , internet explorer lento y sin poder usar filtro "smart screen " ni entrar a herramientas -propiedades de Internet

Van los logs: ACTIVESCAN online

ANALYSIS: 2010-01-05 22:32:25

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 2

;************************************************* ************************************************** ************************************************** ******************************

PROTECTIONS

Description Version Active Updated

;================================================= ================================================== ================================================== ==============================

ESET NOD32 antivirus system 2.70 2.70 Yes Yes

;================================================= ================================================== ================================================== ==============================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;================================================= ================================================== ================================================== ==============================

03009106 W32/Xor-encoded.A Virus No 0 Yes Yes c:\archivos de programa\eset\infected\k5mlpvca.nqf

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp35\a0005184.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp35\a0005181.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp37\a0005316.exe

03738695 Generic Malware Virus/Trojan No 0 Yes Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp35\a0005183.exe

03919062 Generic Malware Virus/Trojan No 0 Yes Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp35\a0005182.exe

;================================================= ================================================== ================================================== ==============================

SUSPECTS

Sent Location

;================================================= ================================================== ================================================== ==============================

Yes c:\archivos de programa\eset\infected\ienfwjda.nqf

Yes d:\system volume information\_restore{5eab9d5f-e02f-4eaf-9645-116bc870b1da}\rp35\a0005195.exe[ebay_shortcuts_1016.exe][ebayshortcuts.exe]

;================================================= ================================================== ================================================== ==============================

VULNERABILITIES

Id Severity Description

;================================================= ================================================== ================================================== ==============================

215938 HIGH MS09-072

215935 HIGH MS09-069

215048 HIGH MS09-065

214076 HIGH MS09-059

971486 HIGH MS09-058

214074 HIGH MS09-057

214073 HIGH MS09-056

214072 HIGH MS09-055

214071 HIGH MS09-054

213109 HIGH MS09-046

212494 HIGH MS09-042

212493 HIGH MS09-041

212490 HIGH MS09-038

212530 HIGH MS09-034

211784 HIGH MS09-032

211781 HIGH MS09-029

210625 HIGH MS09-026

210624 HIGH MS09-025

210621 HIGH MS09-022

210618 HIGH MS09-019

208380 HIGH MS09-015

208378 HIGH MS09-013

208377 HIGH MS09-012

206981 HIGH MS09-007

206980 HIGH MS09-006

204670 HIGH MS09-001

203505 HIGH MS08-071

202465 HIGH MS08-068

201683 HIGH MS08-067

201258 HIGH MS08-066

201256 HIGH MS08-064

201255 HIGH MS08-063

201253 HIGH MS08-061

209275 HIGH MS08-049

196455 MEDIUM MS08-037

194862 HIGH MS08-032

194860 HIGH MS08-030

;================================================= ================================================== ================================================== ==============================

KASPERSKY ONLINE (que me lo detectó al troyano )

KASPERSKY ONLINE SCANNER 7.0: scan report

Thursday, January 7, 2010

Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Thursday, January 07, 2010 16:28:22

Records in database: 3330235

Scan settings

scan using the following database extended

Scan archives yes

Scan e-mail databases yes

Scan area Folder

C:\WINDOWS\system32

Scan statistics

Objects scanned 3657

Threats found 1

Infected objects found 1

Suspicious objects found 0

Scan duration 00:15:44

File name Threat Threats count

C:\WINDOWS\system32\ynbiokoe.dll Infected: Trojan.Win32.BHO.aaxy 1

Selected area has been scanned.

SUPERANTISPYRE

SUPERAntiSpyware Scan Loghttp://www.superantispyware.com

Generated 01/07/2010 at 02:56 PM

Application Version : 4.33.1000

Core Rules Database Version : 4441

Trace Rules Database Version: 2265

Scan type : Complete Scan

Total Scan Time : 00:27:36

Memory items scanned : 265

Memory threats detected : 0

Registry items scanned : 6040

Registry threats detected : 0

File items scanned : 16566

File threats detected : 11

Adware.Tracking Cookie

C:\Documents and Settings\Administrador\Cookies\administrador@ads.e-planning[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@conte nt.yieldmanager[4].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ds-us2.clickexperts[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@conte nt.yieldmanager[3].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[3].txt

C:\Documents and Settings\Administrador\Cookies\administrador@richm edia.yahoo[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.u s.e-planning[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@conte nt.yieldmanager[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@kaspe rsky.122.2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.e-planning[1].txt

-----------------------------

HIJACTHISLogfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 03:01:11 p.m., on 07/01/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\HIJACKTHIS\TrendMicro\HiJackThis\HiJackTh is.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ar.yahoo.com/?fr=fp-yie8

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Yahoo!

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Archivos de programa\Babylon-Pro\Utils\BabylonIEPI.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.5.4723.182 0\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB EL.EXE /FU "C:\WINDOWS\TEMP\E_S5BD.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A 57F0B9B89E2E.dll/cmsidewiki.html

O8 - Extra context menu item: Translate Page with Worldlingo.com - http://www.worldlingo.com/scripts/translate

O8 - Extra context menu item: Translate Selection with Worldlingo.com - http://www.worldlingo.com/scripts/translate

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: Translate - {174AD5F0-A97B-11D3-99A2-000000000000} - http://www.worldlingo.com/scripts/translate (file missing)

O9 - Extra 'Tools' menuitem: Translate Page - {174AD5F0-A97B-11D3-99A2-000000000000} - http://www.worldlingo.com/scripts/translate (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Archivos de programa\Babylon-Pro\Utils\BabylonIEPI.dll

O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Archivos de programa\Babylon-Pro\Utils\BabylonIEPI.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: YnbiokoeMsp - {7F51DADD-75D6-4BA2-8D35-DA17B0B1E7CE} - C:\WINDOWS\system32\ynbiokoe.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Folder Size (FolderSize) - Brio - C:\Archivos de programa\FolderSize\FolderSizeSvc.exe

O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Imapi Helper - Alex Feinman - C:\Archivos de programa\ISO Recorder\ImapiHelper.exe

O23 - Service: IS360service - IObit - C:\Archivos de programa\IObit\IObit Security 360\IS360srv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\BurnAware Professional\NMSAccess32.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Archivos de programa\Yahoo!\SoftwareUpdate\YahooAUService.exe

--

End of file - 10778 bytes

Espero poder salvarme sin formatear , pues no tengo cd.de instalacion de windows , el que tengo instalado no es original ( asi me dieron la maquina )

Perdón si pongo datos de sobra , es por las dudas , para facilitar vuestro trabajo

Gracias y salu2

Mensaje por **msc hotline sat** » 07 Ene 2010, 20:22

No lo elimines, solo cambia su nombre añadiendo .VIR a su extension y envianoslo para analizar, asi lo monitorizaremos y veremos lo que hace, para deshacerlo, restaurar las claves modificadas, eliminar ficheros creados, etc, como hacemos con cada muestra que nos llega para analizar.

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 7-1-2010

NOTA: Luego reinicia normalmente, y al estar con extension .VIR ya no se cargará en memoria.

Mensaje por **msc hotline sat** » 08 Ene 2010, 10:54

En el preanalisis del fichero recibido, (los dos son iguales) solo kaspersky lo detecta:

File ynbiokoe.dll received on 2010.01.08 09:32:34 (UTC)

Current status: finished

Result: 1/41 (2.44%)

Si quiere eliminarlo, puede usar nuestro ELIMD5 aplicando cualquiera de los dos hashes identificativos:

MD5 : 8afd003037c5e109067980146cefa0a4

SHA1 : aa46dbf586a85d08dbc0f761b0ba8f4574ed7af0

ELIMD5.EXE

http://www.zonavirus.com/descargas/elimd5.asp

Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.

Se monitorizará por si vemos que modifica registro, pasar a restaurarlo, de lo cual informaremos

saludos

ms, 8-1-2010

NOTA: Si como deciamos, ha añadido .VIR a su extension, diganos si tras reiniciar persisten las anomalias, gracias

saludos

ms, 8-1-2010

Mensaje por **msc hotline sat** » 08 Ene 2010, 11:15

Al monitorizar el fichero muestra de marras, vemos que no es ejecutable porque le falta el MZ identificativo.

Subiendo de nuevo el fichero operativo, ya lo detectan un 61 % de los antivirus:

File ynbiokoe_dll received on 2010.01.08 10:04:41 (UTC)

Result: 25/41 (60.98%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.48 2010.01.08 Trojan-Downloader.Win32.VB!IK

AhnLab-V3 5.0.0.2 2010.01.08 -

AntiVir 7.9.1.130 2010.01.08 TR/VB.Downloader.Gen

Antiy-AVL 2.0.3.7 2010.01.08 Trojan/Win32.BHO.gen

Authentium 5.2.0.5 2010.01.08 -

Avast 4.8.1351.0 2010.01.07 -

AVG 8.5.0.430 2010.01.04 -

BitDefender 7.2 2010.01.08 Trojan.Generic.2771681

CAT-QuickHeal 10.00 2010.01.07 Trojan.BHO.aarj

ClamAV 0.94.1 2010.01.08 -

Comodo 3510 2010.01.08 TrojWare.Win32.BHO.aaxy

DrWeb 5.0.1.12222 2010.01.08 -

eSafe 7.0.17.0 2010.01.07 -

eTrust-Vet 35.2.7225 2010.01.08 Win32/ASuspect.HABEA

F-Prot 4.5.1.85 2010.01.07 -

F-Secure 9.0.15370.0 2010.01.08 Trojan.Generic.2771681

Fortinet 4.0.14.0 2010.01.08 -

GData 19 2010.01.08 Trojan.Generic.2771681

Ikarus T3.1.1.80.0 2010.01.08 Trojan-Downloader.Win32.VB

Jiangmin 13.0.900 2010.01.07 Trojan/BHO.ivd

K7AntiVirus 7.10.941 2010.01.07 Trojan.Win32.BHO.aaxy

Kaspersky 7.0.0.125 2010.01.08 Trojan.Win32.BHO.aaxy

McAfee 5854 2010.01.07 -

McAfee+Artemis 5854 2010.01.07 Artemis!AD9AC41FF858

McAfee-GW-Edition 6.8.5 2010.01.08 Heuristic.LooksLike.Trojan.VB.Downloader.I

Microsoft 1.5302 2010.01.07 -

NOD32 4752 2010.01.07 -

Norman 6.04.03 2010.01.07 W32/DLoader.ABJBG

nProtect 2009.1.8.0 2010.01.08 Trojan/W32.BHO.372736

Panda 10.0.2.2 2010.01.08 Trj/CI.A

PCTools 7.0.3.5 2010.01.08 Trojan.Generic

Prevx 3.0 2010.01.08 Medium Risk Malware

Rising 22.29.04.04 2010.01.08 -

Sophos 4.49.0 2010.01.08 Mal/Generic-A

Sunbelt 3.2.1858.2 2010.01.08 Trojan.Win32.Generic!BT

Symantec 20091.2.0.41 2010.01.08 Trojan Horse

TheHacker 6.5.0.3.140 2010.01.08 Trojan/BHO.aaxy

TrendMicro 9.120.0.1004 2010.01.08 -

VBA32 3.12.12.1 2010.01.06 Trojan.Win32.BHO.aaxy

ViRobot 2010.1.8.2128 2010.01.08 -

VirusBuster 5.0.21.0 2010.01.07 -

Additional information

File size: 372736 bytes

MD5 : ad9ac41ff85837e1a9440ef0eff2b519

SHA1 : 3d3063082d0cf8621bf67aa90030a3248a1545f9

De esta forma lo pasamos a controlar a partir del ELISTARA de hoy 20.07, que estará disponible a partir de las 15 horas como TROJAn BHO.aaxy

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 8-1-2010

NOTA: El fichero tal como nos lo envió es iinoperativo y no tiene sentido detectarlo. Eliminelo manualmente si quiere. ms.

carlosmet9 · Mensaje por **carlosmet9** » 08 Ene 2010, 14:25

Hola , he eliminado la .dll en cuestion con fileassasin , manteniendola como .vir .He pasado el antivirus EliStarA cuyo informe va a continuacion

(8-1-2010 12:30:56 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

(8-1-2010 12:30:56 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Elimine la .dll que marcaba como troyano con fileassasin , manteniendola como .vir

Va en sgte.post el informe elistar

El I.explorer 8 sigue fallando , no he podido reemplazarlo porque

tengo windows xp sp3 no original , sin cd.de instalacion

Eliminados Ficheros Temporales del IE

(8-1-2010 12:33:55 (GMT))

(8-1-2010 12:30:56 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

(8-1-2010 12:33:55 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3997

Nº Total de Ficheros: 37255

Nº de Ficheros Analizados: 14051

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

-----------------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------

He eliminado la .dll con fileassasin , manteniendo el fichero como .vir

Sigo con problemas con Internet Explorer 8 , aclarando que tengo windows xp sp3 no original , por eso no tengo ese parche actualizado

Mensaje por **msc hotline sat** » 08 Ene 2010, 14:42

El fichero ya lo puedes borrar, pues es inutil, tanto da !

Una vez descargues la version 20.07 como deciamos y la pruebs, tras reiniciar si tienes algun problema deberás Reparar sistema:

[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y lamento que no tengas en windows legal, ya que no podemos dar soporte en tal caso.

Con lo indicado hasta aqui, esperamos que soluciones el problema, sino instala el windows original y abre otro Tema, gracias

saludos

ms, 8-1-2010

TROYANO EN WINDOWS SYSTEM 32 (TERMINADO)

TROYANO EN WINDOWS SYSTEM 32 (TERMINADO)

Re: TROYANO EN WINDOWS SYSTEM 32

Re: TROYANO EN WINDOWS SYSTEM 32

Re: TROYANO EN WINDOWS SYSTEM 32

Re: TROYANO EN WINDOWS SYSTEM 32

Re: TROYANO EN WINDOWS SYSTEM 32