TROYANO? (SOLUCIONADO)

inottoni · Mensaje por **inottoni** » 08 Ene 2010, 17:50

Buenas tardes:

Acabo de instalar el antivirus AVG Anti-Virus Free y tras su instalación me está apareciendo constantemente la misma ventana de título Alerta de Protección Residente con el texto "acceso de archivo está infectado... amenaza detectado....archivo: C:\windows\msacm32.drv... amenaza nombre:Troyano Agent2.ACEO.. detectado al abrir". Pese a darle a todas las opciones que me da el programa antivirus sigue saliéndome el mensaje.

Me podéis echar una mano?.

Gracias y feliz año nuevo

Mensaje por **msc hotline sat** » 08 Ene 2010, 18:43

Pues arranca en modo seguro con funciones de red, para que no el virus ni el antivirus incordien, y añade al nombre de este fichero, la extension .VIR

C:\windows\msacm32.drv

Y sin reiniciar, nos lo envias para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

y tras reiniciar, (así estará "aparcado" y no incordiará) nos cuentas si persiste alguna anomalia, gracias

saludos

ms, 8-1-2010

inottoni · Mensaje por **inottoni** » 11 Ene 2010, 16:16

Hola:

He remitido la muestra tal como me pedíais. He seguido vuestras instrucciones y de momento no persisten las anomalías.

A la espera de vuestras notícias sobre la muestra, muchas gracias.

Saludos

Mensaje por **msc hotline sat** » 11 Ene 2010, 17:58

Bien, hemos recibido el fichero y en el preanalisis vemos que ya el McAfee-GW-Edition 6.8.5 2010.01.05 lo detecta como Heuristic.LooksLike.Trojan.Silentbanker.H

Lo entramos a la cola de monitorizacion, e implementaremos su control y eliminacion en la version siguiente del ELISTARA, no sé si entrará en la de hoy, pues ya es tarde...

Pero mientras tanto, ya no se carga en memoria y puedes ir tirando :)

Informaremos cuando esté controlado

saludos

ms, 11-1-2010

Mensaje por **msc hotline sat** » 11 Ene 2010, 18:40

Llegamos a tiempo antes de cerrar la compilacion del ELISTARA de hoy !

Hoy subiremos el nuevo ELISTARA 20.08 que ya controlará este bicho

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 11-1-2010

inottoni · Mensaje por **inottoni** » 12 Ene 2010, 17:36

Hola:

Adjunto pongo el contenido del archivo Infosat, creo que no ha detectado el troyano:

Fri Oct 03 18:11:35 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\BLPHCNQQJ0EP2G.SCR --> Eliminado Blackster.B(scr)

C:\WINDOWS\SYSTEM32\DLLGH8JKD1Q8.EXE --> Eliminado

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminado Servicio, "Driver"

Fri Oct 03 18:15:40 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

Fri Oct 03 18:24:17 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Fri Oct 03 19:40:20 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Audio\Sibelius\DLGPAL.DLL --> Eliminado, Keylog-Briss

Nº Total de Directorios: 4562

Nº Total de Ficheros: 52335

Nº de Ficheros Analizados: 15079

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Fri Oct 03 19:53:16 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4562

Nº Total de Ficheros: 52333

Nº de Ficheros Analizados: 15077

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-5-2009 14:32:32)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

Eliminada Clave "HKLM\...\Image File Execution Options\explorer.exe"

"Debugger"="C:\ARCHIVOS DE PROGRAMA\MICROSOFT COMMON\SVCHOST.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Spy.ZBot.GWQ

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

(21-5-2009 14:35:06)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Spy.ZBot.GWQ

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.05.04 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(21-5-2009 14:39:18)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.65

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(21-5-2009 14:39:48)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Allegro\INSTALAR CLIENTE.EXE --> Eliminado, WebHancer(inst)

Nº Total de Directorios: 6583

Nº Total de Ficheros: 69152

Nº de Ficheros Analizados: 19950

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(21-5-2009 14:54:43)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

C:\WINDOWS\SVCHOST.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(21-5-2009 14:55:33)

EliStartPage v18.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"

Nº Total de Directorios: 49

Nº Total de Ficheros: 300

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(7-7-2009 16:15:44 (GMT))

EliStartPage v18.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(7-7-2009 16:16:13 (GMT))

EliStartPage v18.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Allegro\INSTALAR CLIENTE.EXE --> Eliminado, WebHancer(inst)

C:\Documents and Settings\USER\Mis documentos\04.PROGRAMAS\INSTAL_ALLEGRO.EXE --> Eliminado, WebHancer(inst)

Nº Total de Directorios: 7280

Nº Total de Ficheros: 72725

Nº de Ficheros Analizados: 21141

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

(8-7-2009 14:54:59 (GMT))

EliStartPage v18.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(8-7-2009 14:56:24 (GMT))

EliStartPage v18.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7279

Nº Total de Ficheros: 72731

Nº de Ficheros Analizados: 21141

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-11-2009 15:40:44) (GMT)

EliTriIP v6.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(12-11-2009 15:40:46) (GMT)

EliTriIP v6.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7892

Nº Total de Ficheros: 78252

Nº de Ficheros Analizados: 20236

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(20-11-2009 14:55:52 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USER\MENú INICIO\PROGRAMAS\ACCESORIOS\INICIO\MHBUPD32.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WBEM\PROQUOTA.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\0A5F009619.EXE.Muestra EliStartPage v19.72

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\0A5F009619.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\0A5F00961.DLL.Muestra EliStartPage v19.72

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\0A5F00961.DLL --> Eliminado

C:\Documents and Settings\USER\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\0a5f009619.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-11-2009 14:57:00 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7931

Nº Total de Ficheros: 81639

Nº de Ficheros Analizados: 22167

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.10.21 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(20-11-2009 15:30:44 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v19.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\0A5F009619.EXE.Muestra EliStartPage v19.72

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\DATOS DE PROGRAMA\MACROMEDIA\COMMON\0A5F009619.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\0a5f009619.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-11-2009 15:35:06 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7923

Nº Total de Ficheros: 74878

Nº de Ficheros Analizados: 21870

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(8-1-2010 16:17:41 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\USER\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(8-1-2010 16:18:12 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SDRA64.EXE.MUESTRA ELISTARTPAGE V19.72 --> Eliminado, Spy.ZBot.GWQ

Nº Total de Directorios: 7997

Nº Total de Ficheros: 74706

Nº de Ficheros Analizados: 21834

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(12-1-2010 15:09:04 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(12-1-2010 15:09:49 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8009

Nº Total de Ficheros: 74832

Nº de Ficheros Analizados: 21892

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-1-2010 15:23:31 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8009

Nº Total de Ficheros: 74834

Nº de Ficheros Analizados: 21892

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 Ene 2010, 17:42

Nos extraña que no se haya detectado el fichero de marras con el ELISTARA 20.08, pues ayer implementamos su control y eliminacion ...

Estas seguro que no lo eliminaste manualmente ???

Vamos a comprobar que se controle como debiera y seguiremos en este mismo post

Pues efectivamente se controla perfectamente como Trojam EMIS.Q

Dinos si es que lo borraste manualmente, y sino, mira si lo encuentras... ???

saludos

ms, 12-1-2010

inottoni · Mensaje por **inottoni** » 12 Ene 2010, 18:22

Hola:

Si que lo sigo teniendo pero con la extensión vir.

Gracias

Mensaje por **msc hotline sat** » 12 Ene 2010, 18:57

Pues mira la prueba que hice, copie el fichero que nos enviaste a un disquete y luego lanzando el ELISTARA sobre él, lo detectó y eliminó perfectamente:

[quote] (12-1-2010 16:45:56 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "A:\"

A:\MSACM32.VIR.DRV --> Eliminado, Trojan.Emis.Q

Nº Total de Directorios: 0

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Prueba de hacerlo arrancando en modo seguro como Administrador, no sea que no tengas derechos de escritura o borrado... ???, porque sino, haberlas hailas ... :) y no solo en Galicia, tambien en el Levante :wink:

saludos

ms, 12-1-2010

inottoni · Mensaje por **inottoni** » 13 Ene 2010, 08:56

Buenos días:

Hice lo que me dijiste, arranque en modo seguro y pase el elistara y sí que me lo detectó y lo eliminó. Lo he comprobado y ya no tengo el archivo en el pc.

Solucionado; muchas gracias.

Mensaje por **msc hotline sat** » 13 Ene 2010, 09:37

Ah bueno ! :)

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 13-1-2010

TROYANO? (SOLUCIONADO)

TROYANO? (SOLUCIONADO)

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?

Re: TROYANO?