Hola, he pasado en una PC con win xp varios programas, deshabilitando restaurar sistema, y con el msconfig dado un inicio selectivo cargando solo el boot.ini y los servicios, para poder ejecutar el Norton Internet Security 2005(actualizado con la fecha del 17 de Febrero 2005), ya que en modo a prueba de fallos marca un error con el integrador o algo asi, de esa manera solo me detecto un infectado que era el archivo en system32, dload.exe.
Ademas pase en modo seguro las utilerias para antiespias que son: xcleaner_free ver. 38370, CWShredder ver 2.13, el spybot s&d 1.3.1 TX con la actualizacion mas reciente, al igual que el ad-aware se personal 1.05 actualizado tambien a lo ultimo def. Los cuales me detectaron algunas cosas y las elimine, pero aun asi en el msconfig veo que aparecian en el registro para cargarse en el inicio dos o 3 programitas que no se me hacen conocidos de windows, asi que los copie a un diskette y les pase el antivirus de otra pc que es mcafee, el cual detecto uno de ellos como un downloader, les pongo el dato que me da:
19/02/05 05:55 p.m. Infected A:\sospechosos\PBBA.EX_ Downloader-ME.dr (Removable)
19/02/05 05:55 p.m. Clean Error A:\sospechosos\PBBA.EX_ Downloader-ME.dr
El otro no lo detecto como virus pero aun asi tiene un nombre raro(rcvqoxs.exe), asi que se los envio para su analisis. Decir que esos archivos el NIS2005 no los detecta. Al igual que estuve pesando que utilerias del foro pudieran detectar esa variante de downloader, pero no se cual pueda servir. Y en caso de que no las controlen aun lo puedan hacer en alguna de las utilerias.
Saludos
Efrain
P. D. El hkooker que es, ya que no lo encontre en el sistema pero tiene un registro tambien en la llave de Run. Y otro detalle que veo en la PC es que cuando le doy buscar con la herramienta de busqueda de win XP, se bloquea, a que puede deberse?
P. D. 2: El archivos htpatch.exe renombrado en un segundo zip, esta en c:\windows, tambien no se me hace conocido, aunque los 2 antivirus que he usado de la PC y donde estoy enviando el archivo no lo han detectado como virus.
Por otro lado comentarle que ya reinicie la PC y sigue aun cargando en el registro la llave de RUN, de se.dll con el nombre de la llave de sp que me parece que tienen relacion el archivo el se.dll que lo habia visto en temporales, y lo elimino del registro y al reiniciar vuelve a aparecer, alguna sugerencia de como quitarlo?, se los envio tambien en el segundo zip para su analisis y anexarlo a la utileria en caso de no tenerlo controlado, les pongo el analisis de mcafee para el caso del se.dll que lo detecta como starpage-du:
19/02/05 07:11 p.m. Infected fyr A:\SOSPECHOSOS\sospechoso.zip\SE.DL_ StartPage-DU.dll (Removable)
19/02/05 07:11 p.m. Clean Error fyr A:\SOSPECHOSOS\sospechoso.zip\SE.DL_ StartPage-DU.dll
Archivos sospechosos: rcvqoxs.exe,pbba.exe, htpatch.exe y...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para el StartPage-DU tenemos la utilidad ELISTARA.EXE que lo elimina sin problemas, como podrás comprobar en otros Temas de este foro.
Ante todo debes seguir los pasos del tutorial de spywares, donde se te indica esta utilidad ELISTARA.EXE
https://foros.zonavirus.com/viewtopic.php?t=4795
Tras ello, si tienes algun problema que no te resuelvan los metodos indicados, lanza un HijackThis y envianos el log en un proximo post.
Igualmente, si se han resueltos los problemas, indicanoslo para cerrar el Tema
saludos
ms, 21-02-2005
Ante todo debes seguir los pasos del tutorial de spywares, donde se te indica esta utilidad ELISTARA.EXE
Tras ello, si tienes algun problema que no te resuelvan los metodos indicados, lanza un HijackThis y envianos el log en un proximo post.
Igualmente, si se han resueltos los problemas, indicanoslo para cerrar el Tema
saludos
ms, 21-02-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efrain, no envies muestras que no se te pidan en post al respecto. Se ha recibido un correo con muestras no solicitadas, que ya al recibirlas los antivirus normales en curso detectan virus.
Además ya indicabas detectar virus en ellas, asi que no sé porqué kas has enviado.
Procede conforme se indica con los tutoriales de virus y spyware, y si tras ello presentan problemas, lanza y postea el log del HJT, como se ha indicado.
saludos
ms, 21-02-2005
Además ya indicabas detectar virus en ellas, asi que no sé porqué kas has enviado.
Procede conforme se indica con los tutoriales de virus y spyware, y si tras ello presentan problemas, lanza y postea el log del HJT, como se ha indicado.
saludos
ms, 21-02-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ok, lo siento, pero pense que tal vez fueran utiles para las utilerias del foro. La proxima vez, esperare antes la contestacion para enviar muestra, disculpas de nuevo. Pero como en la PC que tiene el norton no se detectan solo en la que use para enviar las muestras es donde se detectaron, pero aun asi no todos los archivos fueron detectados como tal, asi que queria saber si realmente son archivos comunes o proceden de algun virus, como es el caso del rcvqoxs.exe y el htpatch.exe.
Con respecto a lo del starpage, leere e intentare removerlo, asi que despues les aviso como fue, si no se remueve entonces les mandare el log del hijackthis.
Saludos y gracias por la gran labor de ayudar a la eliminacion de virus y espias.
Efrain
Con respecto a lo del starpage, leere e intentare removerlo, asi que despues les aviso como fue, si no se remueve entonces les mandare el log del hijackthis.
Saludos y gracias por la gran labor de ayudar a la eliminacion de virus y espias.
Efrain