neomonap23.exe (solucionado)

albema79 · Mensaje por **albema79** » 03 Feb 2005, 12:37

Hola a tod@s,

*Tengo un virus detectado por kaspersky (o como se diga): backdoor/rbot.gen

*Genera diferentes archivos en el "regedit": icp.exe, vpc32.exe, neomonap23.exe.

*Me los he cargado todos manualmente pues el antivirus no lo hace.

*Per el maldito neomonap23.exe me sale cada vez que reinicio el ordenador y he seguido el mismo procedimiento que con los otros archivos: modo a prueba de fallos, desactivar restaurar sistema, etc.

*He pasado el panda y el ad-ware despues y no me detectan nada.

*No me lo puedo cargar y este proceso me ralentiza la conexion a internet creando una ventana http:\jOr.biz

*Para conectarme siempre he de descativar el proceso neomonap23.exe con el administrador de tareas

¿¿alguien me puede ayudar???

Mensaje por **msc hotline sat** » 03 Feb 2005, 13:35

Ya lanzas tu antivirus arrancando en modo seguro y deshabilitando la restauracion de sistema???

E igual los antispywares.

Del vpc32.exe ya está solucionado con:

https://foros.zonavirus.com/viewtopic.php?t=29&highlight=vpc32

Pero este neomonap23.exe no lo conocemos. Envianos una muestra a zonavirus@satinfo.es abexada a un mail cuyo texto sea un copiar y pegar de este post, y te responderemos como respuesta de este Tema.

saludos

ms, 3-02-2005

Mensaje por **maura63** » 03 Feb 2005, 15:21

Algo de informacion

[Summary]

Discovered=02/01/2005 02:25:00

ID=89C9E1349B7BC164ABB88FA83F52BC1F

ID2=102912,8C1AB1BBD51F9A3A44780DF95329549A

ID3=101888,F9B12DAD093F76592DF11119C5F19A32

MD5=E97D8EA91A95E9FF2C1BC35FD8EBFDED

Size=102912

Filename=neomonap23.exe

Company=N/A

Risk=5.8

Virus=Sdbot.worm ***

[Risk Analyzer]

AutoRun=12

NonBrand=10

FileCreated=4

FileCreatedInWinSys=4

CloneThreat=4

RunProcess=4

TCPServer=10

McAfee=8

[Virus Known As (McAfee)]

W32/Sdbot.worm=1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

MOJNPluginSrIvcs=neomonap23.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\]

MOJNPluginSrIvcs=neomonap23.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

MOJNPluginSrIvcs=neomonap23.exe

[FileCreated]

c:\windows\system32\neomonap23.exe=1

[ProcessCreated]

C:\WINDOWS\system32\neomonap23.exe=1

[ThreadCreated]

Count=5

[TCPServer] ; Port=Status(Handle)

2474=64 (1556)1,1

Por si las moscas :wink:

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Feb 2005, 15:29

Gracias Maura63.

En la informacion al respecto ya se indica que es de la familia que McAfee considera SDBOT, si bien no lo documenta en sus descripciones, e imagino que no es detectado todavía por el antivirus, pero si nos envia la muestra lo sabremos.

Veo que indican descubierto el 1 de febrero, así que puede tratarse de una nueva variante.

saludos

ms, 3-02-2005

albema79 · Mensaje por **albema79** » 03 Feb 2005, 15:34

Si que he hecho lo de modo a prueba de fallos y tambien he desconectado restaurar sistema.

De hecho me he cargado correctamente los otros archivos infectados como vpc32... pero este en concreto siempre permanece.

Me has comentado que te envie una muestra, pero, como hago eso?

Quieres un Ctrl+C en el archivo que me sale en regedit y lo pego en el e-mail??

Por cierto, la informacion de mosquetero la agradezco pero es que no soy muy experto en el tema, si hay algo que me sirva para quitar el virus que alguien me lo traduzca si puede.

Un saludo

Mensaje por **maura63** » 03 Feb 2005, 16:09

En el buscador introduce [color=red]neomonap23.exe [/color]y das a buscar, cuando lo encuentres introduce un diskette copia y pega el archivo al disco y mediante el e:mail lo adjuntas y como texto un copiar y pegar del post que abriste y lo envias a zonavirus@satinfo.es

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Feb 2005, 16:13

Mira, la muestra la extraes del disco duro, del directorio de sistema: c:\windows\system32\neomonap23.exe

y la anexas a un mail que nos envies a zonavirus@satinfo.es y en el texto del mail pongas zonavirus-neomonap23.exe ya valdrá para saber a que Tema corresponde y así poder analizar dicho fichero y contestarte como respuesta a este Tema.

Y de lo indicado por Maura63, es especialmente importante para saber que se puede tratar de un viirus de BOT, de la familia SDBOT.

saludos

ms, 3-02-2005

albema79 · Mensaje por **albema79** » 03 Feb 2005, 20:48

Acabo de enviar un mensaje con el exe adjunto.

A ver ke tal...

Mensaje por **msc hotline sat** » 04 Feb 2005, 09:34

Recibida la muestra, es detectada ya por McAfee como SDBOT.worm.gen.J y nosotros potenciamos hoy el ELISLUTA para que tambien la controle y elimine.

La subiremos a esta web hoy mismo.

Mientras, sáque este fichero del ordenador, moviendolo a un disquete por ejemplo, y reinicie el equipo, con lo cual ya no lo podrá cargar en el arranque.

saludos

ms, 4-02-2005

Mensaje por **msc hotline sat** » 04 Feb 2005, 10:33

Subida a esta web nueva version de ELISLUTA pazra esta variante:

Para probarla, descargarla de:

https://foros.zonavirus.com/viewtopic.php?p=83#83

saludos

ms, 4-02-2005

albema79 · Mensaje por **albema79** » 04 Feb 2005, 11:25

Compañeros, a esto lo llamo yo eficiencia. En 24 horas me habeis solucionado el problema.

Gracias por todo

Un saludo

Mensaje por **msc hotline sat** » 04 Feb 2005, 11:34

Pues lo celebramos, y solucionado el problema, cerramos el Tema

saludos

ms, 4-02-2005

neomonap23.exe (solucionado)

neomonap23.exe (solucionado)

como te envio la muestra

enviada muestra

gracias