fde32.dll Troyano

kikke · Mensaje por **kikke** » 06 Mar 2010, 22:02

Hola, necesito ayuda para eliminar un troyano en un windows 7 totalmente parcheado y con antivirus totalmente actualizado.

Avast free edition me detecta el dichoso elemento ~~[b]~~ Win32 Globan[/b] y su ruta es:

~~[b]~~C:\windows\system32\fde32.dll[/b]

El análisis en virustotal :

https://www.virustotal.com/es//analisis/c3eb4f7747f2ae7e3d7eaf423f27bb83f9e6fe59409cfd07c1b1282b97270b9e-1267903580

Les envio muestra siguiendo instrucciones del envio de muestras en el foro.

He estado tratando de eliminarlo desde el registro de windows 7 pero no doy con las claves y siempre vuelve a aparecer, tampoco sé el método de infección, el sistema no usa P2P.

Saludos y espero vuestra ayuda

Mensaje por **msc hotline sat** » 07 Mar 2010, 07:01

Pues veo que debe ser reciente, ya que aun no lo detectan ni AVG, ni Dr Web, ni Kaspersky, y McAfee solo como sospechoso...

Envianos el fichero indicado, C:\windows\system32\fde32.dll y lo analizaremos y controlaremos en nuestras nuevas versiones de utilidades, de lo cual informaremos.

Y de momento añade .VIR a la extension de dicho fichero, asi tras reiniciar ya no se cargará en memoria.

saludos

ms, 7-3-2010

kikke · Mensaje por **kikke** » 07 Mar 2010, 12:49

Archivo enviado.

Saludos ¡¡

Mensaje por **msc hotline sat** » 07 Mar 2010, 13:29

Debias haberlo enviado a zonavirus@satinfo.es indicando como asunto tu nick en el foro, ya que anexandolo a un post puede descargarlo cualquiera y pueden decir que en esta web hay virus...

Lo elimino y ya lo envio yo.

File fde32.dll received on 2010.03.06 19:26:20 (UTC)

Current status: finished

Result: 19/42 (45.24%)

File size: 11776 bytes

MD5 : f499c482c5e2f27ff940b35d336e8701

SHA1 : 097171d49cbe9c7b382f01c97e1cdef6564239d3

Si quieres descarga el ELIMD5.EXE, luego arranca en modo seguro y luego ejecutalo ingresando cualquiera de los dos hashes indicados al final del anterior informe.

ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp

Mañana se monitorizará e implementará su control y eliminacion en las nuevas versiones de nuestras utilidades, de lo cual informaremos

Mientras, añade .VIR a la extension de dicho fichero y tras reiniciar ya no se cargará.

saludos

ms, 7-3-2010

NOTA: para otra vez, recuerda:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

kikke · Mensaje por **kikke** » 07 Mar 2010, 20:03

Traté de enviarlo en varias ocasiones pero no pude, aki la respuesta del servidor:

~~[b]~~- These recipients of your message have been processed by the mail server:

zonavirus@infosat.es; Failed; 5.1.1 (bad destination mailbox address)

Remote MTA smtp-01.servidoresdns.net: SMTP diagnostic: 550 <zonavirus@infosat.es>: Recipient address rejected: User unknown in virtual alias table[/b]

Mensaje por **msc hotline sat** » 07 Mar 2010, 20:13

Claro que no te iba bien, no es la direccion a la que lo enviabas zonavirus@infosat.es esta no existe que sepamos, sino que es zonavirus@satinfo.es

En fin, eso pasa en las mejores familias ... :)

Mañana lo analizaremos y obraremos en consecuencia

saludos

ms, 7-3-2010

kikke · Mensaje por **kikke** » 07 Mar 2010, 20:24

puesssss no se yo pero solamente seguí este manual..., lo siento pero el error no fue solo mio.

Nadie es perfecto..

Saludos¡¡¡¡

[quote="msc hotline sat"]Claro que no te iba bien, no es la direccion a la que lo enviabas zonavirus@infosat.es esta no existe que sepamos, sino que es zonavirus@satinfo.es

En fin, eso pasa en las mejores familias ... :)

Mañana lo analizaremos y obraremos en consecuencia

saludos

ms, 7-3-2010[/quote]

Mensaje por **msc hotline sat** » 07 Mar 2010, 20:40

Tienes toda la razón, :oops: , gracias por decirnoslo !!!

Voy a corregir dicha direccion de correo , por suerte solo se usa como alternativa, pero ahora justamente parece que no va bien el metodo automatico, asi que, MUY OPORTUNO ! :)

saludos

ms, 7-3-2010

NOTA: Efectivamente, un moderador se equivocó en este Tema e indicó dirección errónea,

https://foros.zonavirus.com/viewtopic.php?f=5&t=24875&p=134623#p134623

y lo malo es que es de Mayo de 2008... a saber cuantos lo usaron erroneamente..., en fin, como bien dices, somos humanos... CORREGIDO, ms.

Mensaje por **msc hotline sat** » 08 Mar 2010, 13:42

Pues recibimos un fichero sin nick, que podría ser el tuyo ya que adjunta FDE32.DLL, que subido al VirusTotal da:

File fde32.dll received on 2010.03.08 09:37:39 (UTC)

Result: 21/42 (50%)

Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.03.07 Trojan-Proxy.Win32.Dorando!IK

AhnLab-V3 5.0.0.2 2010.03.07 -

AntiVir 8.2.1.180 2010.03.05 -

Antiy-AVL 2.0.3.7 2010.03.05 -

Authentium 5.2.0.5 2010.03.06 W32/Dorando.A.gen!Eldorado

Avast 4.8.1351.0 2010.03.07 Win32:Globan

Avast5 5.0.332.0 2010.03.07 Win32:Globan

AVG 9.0.0.787 2010.03.07 -

BitDefender 7.2 2010.03.07 Trojan.Dropper.Crypt.C

CAT-QuickHeal 10.00 2010.03.06 -

ClamAV 0.96.0.0-git 2010.03.06 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.07 -

eSafe 7.0.17.0 2010.03.04 -

eTrust-Vet 35.2.7342 2010.03.05 -

F-Prot 4.5.1.85 2010.03.06 W32/Dorando.A.gen!Eldorado

F-Secure 9.0.15370.0 2010.03.07 Trojan.Dropper.Crypt.C

Fortinet 4.0.14.0 2010.03.07 -

GData 19 2010.03.07 Trojan.Dropper.Crypt.C

Ikarus T3.1.1.80.0 2010.03.07 Trojan-Proxy.Win32.Dorando

Jiangmin 13.0.900 2010.03.07 -

K7AntiVirus 7.10.990 2010.03.04 -

Kaspersky 7.0.0.125 2010.03.07 Trojan-Proxy.Win32.Glukelira.acp

McAfee 5912 2010.03.06 Suspect-02!F499C482C5E2

McAfee+Artemis 5912 2010.03.06 Suspect-02!F499C482C5E2

McAfee-GW-Edition 6.8.5 2010.03.07 -

Microsoft 1.5502 2010.03.07 TrojanProxy:Win32/Dorando.gen!A

NOD32 4922 2010.03.07 -

Norman 6.04.08 2010.03.07 W32/Malware.LOSW

nProtect 2009.1.8.0 2010.03.07 -

Panda 10.0.2.2 2010.03.07 Trj/CI.A

PCTools 7.0.3.5 2010.03.04 -

Prevx 3.0 2010.03.08 Medium Risk Malware

Rising 22.37.06.04 2010.03.07 Trojan.Spy.Win32.Undef.nd

Sophos 4.51.0 2010.03.07 Mal/Pukish-B

Sunbelt 5780 2010.03.07 TrojanProxy.Win32.Dorando.gen.A (v)

Symantec 20091.2.0.41 2010.03.07 Suspicious.Insight

TheHacker 6.5.1.9.223 2010.03.07 -

TrendMicro 9.120.0.1004 2010.03.07 -

VBA32 3.12.12.2 2010.03.05 BScope.Trojan-Dropper.Inject

ViRobot 2010.3.5.2214 2010.03.05 -

VirusBuster 5.0.27.0 2010.03.06 -

Additional information

File size: 11776 bytes

MD5...: f499c482c5e2f27ff940b35d336e8701

SHA1..: 097171d49cbe9c7b382f01c97e1cdef6564239d3

Puede ser una variante de uno que ya conociamos anteriormente (TROJAN AGENT BUI, alias GLOBAN)) y que pasamos a añadir al control del ELISTARA de hoy 20.48:

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 8-3-2010

Mensaje por **msc hotline sat** » 08 Mar 2010, 20:12

Ya hemos subido la v 20.48 del ELISTARA a partir de la cual controlamos esta variante, descargala y tras probarla, posteanos el informe resultante, gracias

saludos

ms, 8-3-2010

fde32.dll Troyano

fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano

Re: fde32.dll Troyano