Tengo un Troyano

[blueal]

Estimado soy nuevo en esto y no me llevo muy bien con la tecnologia lo que me esta ocurriendo es que tengo el antivirus Mcaffe y me habia detectado un troyano lo mande a analizar a mcaffe y lo envio al baul pero luego de unos dias lo elimine del baul y me comenzo a aparecer el siguiente archivo a ejecutar: C:\ussers\Alejandro Zarate\AppData\Local\Temp\service.exe el cual esta bloquedo por el firewall y siempre que aparece lo cancelo. La pc me funciona lenta y aveces se cambia de ubicacion en el explorer, el cursor del mouse desaparece y se reinicia sola apareciendome una leyenda con errores en una pantalla azul y se vuelve a reiniciar constantemente y si no la apago no vuelve a encender normalmente.





Espero que me puedan ayudar desde ya muchas gracias.

Blueal...

[msc hotline sat]

Pues envianos para analizar el fichero que dices:



C:\ussers\Alejandro Zarate\AppData\Local\Temp\service.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





[b]NOTA:[/b] Además, mientras lo recibimos y analizarmos, posteanos el informe generado por el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 18-6-2010

RARBA

[blueal]

[quote="msc hotline sat"]Pues envianos para analizar el fichero que dices:



C:\ussers\Alejandro Zarate\AppData\Local\Temp\service.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





[b]NOTA:[/b] Además, mientras lo recibimos y analizarmos, posteanos el informe generado por el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote][/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 18-6-2010[/quote



Cuando en la parte de buscar coloco C:\Users\Equipo\AppData\Local\Temp\Service.exe me dice que no hay registro intente de buscarlo en modo seguro pero no se si lo realice bien porque tengo Windows 7 starter.

Si me podrias indicar como hacer seria de una gran ayuda.

[msc hotline sat]

Es posible que al estar en una carpeta TEMP este fichero se haya borrado despues de tantos días...



C:\Users\Equipo\AppData\Local\Temp\Service.exe



En cualquier caso mira de buscarlo con el ELIMOVER y si te lo encuentra lo copiará a C:\muestras , desde donde te será fácil enviarnoslo



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



(Fijarse que dice SERVICE.EXE , no SERVICES.EXE que es del sistema operativo, no confundirse de fichero)



E independientemente de lo indicado, posteanos el informe generado por el SPROCES, como ya decíamos , gracias



saludos



ms, 2-7-2010

[blueal]

[quote="msc hotline sat"]Es posible que al estar en una carpeta TEMP este fichero se haya borrado despues de tantos días...



C:\Users\Equipo\AppData\Local\Temp\Service.exe



En cualquier caso mira de buscarlo con el ELIMOVER y si te lo encuentra lo copiará a C:\muestras , desde donde te será fácil enviarnoslo



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



(Fijarse que dice SERVICE.EXE , no SERVICES.EXE que es del sistema operativo, no confundirse de fichero)



E independientemente de lo indicado, posteanos el informe generado por el SPROCES, como ya decíamos , gracias



saludos



ms, 2-7-2010[/quote]





Listo muchasd gracias por la ayuda; lo pude ubicar y ya se los envie para que la muestra sea analizada

[msc hotline sat]

Pues cuando mañana entremos a trabajar en SATINFO lo analizaremos e informaremos



Mientras convendría añadir .VIR a su extension para que no se cargara a partir del siguiente reinicio, a ver si con esto ya deja de incordiar .



SI lo ha copiado con el ELIMOVER, repita la operacion pero marque la casilla inferior donde dice añadir .VIR al fichero original.



Y tras reiniciar diganos si persiste la anomalia, gracias



saludos



ms, 5-7-2010

[blueal]

[quote="msc hotline sat"]Pues cuando mañana entremos a trabajar en SATINFO lo analizaremos e informaremos



Mientras convendría añadir .VIR a su extension para que no se cargara a partir del siguiente reinicio, a ver si con esto ya deja de incordiar .



SI lo ha copiado con el ELIMOVER, repita la operacion pero marque la casilla inferior donde dice añadir .VIR al fichero original.



Y tras reiniciar diganos si persiste la anomalia, gracias



saludos



ms, 5-7-2010[/quote]



Lo hice y cuando reinicie la pc no aparecio mas el cartel de ejecutar...

[msc hotline sat]

No se han recibido ni ayer ni hoy muestras con su nick



Si quiere enviarlas, recuerde:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 7-7-2010

[blueal]

[quote="msc hotline sat"]No se han recibido ni ayer ni hoy muestras con su nick



Si quiere enviarlas, recuerde:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 7-7-2010[/quote]
Muestra de virus enviada



En breve recibirá noticias a traves del correo electronico proporcionado.



Tengo un Troyano

Fichero: service.zip | Tamaño: 38,89 Kb

MD5: 76F2E18087DB1F0755A4AB162489B02D

[msc hotline sat]

So el MD5 es el del ZIP, no nos sirve, diganos el del fichero desempaquetado, que es el que hemos de controlar, y asi adelantaremos resultados



Sino, mañana, cuando volvamos a entrar en SATINFO, lo recibiremos y analizaremos



saludos



ms, 12.7.2010

[msc hotline sat]

Pues la muestra recibida, tras preanalizarla con VIRUSTOTAL y ver que la mayoría de los antivirus ya lon detectan (menos alguno como Symantec, Trend, Sophos, AVG que aun no lo conocen), vemos que el MD5 indicado era el del ZIP, ya que el del fichero EXE es

[b]MD5 : 0fda7c30f2c52fb5a082ec19348344eb[/b]



Y el VirusTotal nos informa:



File service.exe received on 2010.07.13 07:16:30 (UTC)

Current status: finished



Result: 29/42 (69.05%)

Compact Print results Antivirus Version Last Update Result

a-squared 5.0.0.31 2010.07.13 Virus.Win32.VBInject!IK

AhnLab-V3 2010.07.13.01 2010.07.13 Trojan/Win32.VBKrypt

AntiVir 8.2.4.10 2010.07.12 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.07.12 Trojan/Win32.VBKrypt.gen

Authentium 5.2.0.5 2010.07.13 W32/VBTrojan.9!Maximus

Avast 4.8.1351.0 2010.07.12 Win32:Malware-gen

Avast5 5.0.332.0 2010.07.12 Win32:Malware-gen

AVG 9.0.0.836 2010.07.12 -

BitDefender 7.2 2010.07.13 Trojan.Generic.4437470

CAT-QuickHeal 11.00 2010.07.13 Trojan.VBInject.dx

ClamAV 0.96.0.3-git 2010.07.12 -

Comodo 5412 2010.07.13 TrojWare.Win32.VBKrypt.bil

DrWeb 5.0.2.03300 2010.07.13 -

eSafe 7.0.17.0 2010.07.11 Win32.TRDropper

eTrust-Vet 36.1.7702 2010.07.13 -

F-Prot 4.6.1.107 2010.07.11 W32/VBTrojan.9!Maximus

F-Secure 9.0.15370.0 2010.07.13 Trojan.Generic.4437470

Fortinet 4.1.143.0 2010.07.13 W32/VBKrypt.BIL!tr

GData 21 2010.07.13 Trojan.Generic.4437470

Ikarus T3.1.1.84.0 2010.07.13 Virus.Win32.VBInject

Jiangmin 13.0.900 2010.07.13 Trojan/VBKrypt.kp

Kaspersky 7.0.0.125 2010.07.13 Trojan.Win32.VBKrypt.bil

McAfee 5.400.0.1158 2010.07.13 Artemis!0FDA7C30F2C5

McAfee-GW-Edition 2010.1 2010.07.12 Artemis!0FDA7C30F2C5

Microsoft 1.5902 2010.07.13 VirTool:Win32/VBInject.gen!DX

NOD32 5273 2010.07.12 Win32/AutoRun.IRCBot.FC

Norman 6.05.11 2010.07.12 -

nProtect 2010-07-12.01 2010.07.12 Trojan.Generic.4437470

Panda 10.0.2.7 2010.07.12 Generic Trojan

PCTools 7.0.3.5 2010.07.13 -

Prevx 3.0 2010.07.13 High Risk Cloaked Malware

Rising 22.56.01.03 2010.07.13 Trojan.Win32.Generic.52086306

Sophos 4.55.0 2010.07.13 -

Sunbelt 6571 2010.07.12 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.07.13 -

Symantec 20101.1.0.89 2010.07.13 -

TheHacker 6.5.2.1.312 2010.07.12 -

TrendMicro 9.120.0.1004 2010.07.13 -

TrendMicro-HouseCall 9.120.0.1004 2010.07.13 -

VBA32 3.12.12.6 2010.07.12 Trojan.Win32.VBKrypt.bil

ViRobot 2010.7.12.3932 2010.07.13 -

VirusBuster 5.0.27.0 2010.07.12 Trojan.VBKrypt.BCT

Additional information

File size: 75361 bytes

MD5 : 0fda7c30f2c52fb5a082ec19348344eb

SHA1 : a2f4425b073e5e3aeaf6fade17f0753b9e5cebb0





y al monitorizarlo vemos que incluso el actual ELISTARA tambien como [b]"Trojan SCAR CEUY"[/b]



Así que descargue el ELISTARA y, al probarlo, verá como ya lo detectará y eliminará, además de restaurar las claves correspondientes y demás:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 13-7-2010