Troyano?? ..virus???? And1.exe (solucionado)

[juan]

Hola,



Buenas tardes a todos los foreros.



El motivo x el que vuelvo a escribir a este fantastico foro es que desde hace ya tiempo mi ordenador me iba mal el de sobremesa y el portatil ( los tengo conectados en red inalambrica). Ya desde hace tiempo el ordenador de sobremesa me dio problemas lo formatee volvi a instalar el xp ( me dio algun fallo en la instalacion) pero al final se instalo mo se si bien o mal...El caso es que al poco tiempo me salia un icono de memoria virtual insuficiente, la regulaba pero nada seguia igual habia un proceso que me ralentizaba el ordenador se llama And1.exe, tb lo tengo en el portatil un toshiba nuevo q adquiri hace poco, pase el antivirus mcafee pero no se va lo he intentado eliminar manualmente pero no me deja eliminarlo. Lo tengo desde hace tiempo y he ido como podia viviendo con el, le daba a alt control y sup y paraba el proceso al principio eso funcionaba lo hacia cada vez q encendia el orde y ya estaba pero ahora paro el proceso y al poco tiempo se vuelve a poner y me roba hasta el 100% de la cpu y claro el ordenador se ralentiza hasta un punto en el q abrir una carpeta lleva 2 horas...o más!. hOPY HE PROBADO A CAMBIARLE EL NOMBRE Y REINICIO PERO SE CREA OTRO PROGRAMITA CON EL NOMBRE INIAL And!.exe.



He buscado informacion en internet pero no hay nada!



Alguna solucion?. :roll: :idea:



gracias!!!!

[msc hotline sat]

Aparte de recomedarle seguir los tutoriales de virus y spywares:





lance un antivirus ONLINE y comentenos los resultados



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Aparte, envienos muestra del fichero en cuestion And1.exe anexado a un m ail a zonavirus@satinfo.es y monitorizaremos su comportamoento, y le contestaremos como respuesta de este Tema. Para ello, como texto del mail haga un copiar y pegar de este post.



SALUDOS



MS, 21-03-2005

[msc hotline sat]

Aparte de recomedarle seguir los tutoriales de virus y spywares:

viewtopic.php?f=5&t=5370

lance un antivirus ONLINE y comentenos los resultados

https://www.virustotal.com/es/

Aparte, envienos muestra del fichero en cuestion And1.exe anexado a un m ail a zonavirus@satinfo.es y monitorizaremos su comportamoento, y le contestaremos como respuesta de este Tema. Para ello, como texto del mail haga un copiar y pegar de este post.

SALUDOS

MS, 21-03-2005

[juan]

Bueno he pasao el antivirus online, sin haber parado el proceso and1.exe en el administrador de tareas y esto es lo q me ha dado:



Resultados de la exploración 98049 files scanned. 6 viruses were detected.



Archivo Infección Estado Ruta

chm10[1].chm JS.Startpage.JY!downloader deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\N41V67L7\

counter[1].gif JS.MHTMLRedir!exploit deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\NDK95QZA\

msits[1].htm JS.MHTMLRedir!exploit deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\NDK95QZA\

counter[1].gif JS.MHTMLRedir!exploit deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\S1IJ4DAN\

msits[1].htm JS.MHTMLRedir!exploit deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\S1IJ4DAN\

ifr[1].php JS.MHTMLRedir!exploit deleted C:\Documents and Settings\Spanish Minerals\Configuración local\Archivos temporales de Internet\Content.IE5\VRH6O10Q\



He pasado tb el antivirus en modo a prueba de errores pero tampoco me lo ha pillado.



No he podido pasar el antivirus online en modo a prueba de errores xq cuando estoy en ese modo no me puedo conectar a internet.



Creo q he enviado correctamente el virus a traves de mi direccion electronica propia ya que lo intente enviar a traves de mi direccion de hotmail y no m dejaba ya que me decia que era un virus y no se podia eliminar.

[maura63]

En modo seguro borra archivos temporales de internet, archivos sin conexion y cookies.



Vuelve a lanzar el antivirus.



Saludos

maura63

[msc hotline sat]

Recibida muestra.



Es un nuevo gusano de BOT no controlado aun por los antivirus.



Se envia muestra al WildList para conocimiento de todos los antivirus, y a McAfee en particular para su control en proximos DATS.



Hoy mismo haremos una nueva version de la utilidad ELITRIIP que lo controlará y eliminará. Se comunicará al foro cuando esté disponible



saludos



ms, 22-03-2005

[juan]

Uy pues que bien q ya sepais lo que es! :D Sois unos jefes!.



Maura ya pase el antivirus en modo seguro despues de borrar las cookies y no me encontro nada de nada.





Bueno y ahora yo que hago?.

[juan]

Lo que yo no entiendo es como funciona ese virus...xq es un virus no?. Y tb no entiendo como se pudo meter en mi portatil desde mi ordenador de sobremesa....Alguien me puede explicar un poco eso...

[msc hotline sat]

Los virus de BOT entran por intrusion via IP a traves de ports abiertos o vulnerabilidades conocidas, y por comparticiones administrativas, siendo este además un backdoor que puede aprovechar un hacker para controlar remotamente su ordenador.Y una vez infectado un oprdenador, segun sus sistema de propagacion pueden infectar los demás en red.



Y como este cada día hay un promedio de 50 nuevos casa día, los cuales no son controlados por los antivirus hasta que se sospecha de ellos, se analizan las muestras y se ponen bajo control.



saludos



ms, 22-03-2005

[msc hotline sat]

Mientras acabamos la nueva version del ELITRIIP que lo controla y elimina, McAfee nos ha enviado un EXTRA.DAT que complementa los actuales DAQT para deteccion y eleiminacion de este nuevo BOT al que denominan GAOBOT.worm.gen.T



para los usuarios de McAfee:



EXTRA.DAT

______________________________________





232 178 159 179 77 51 218 128 63 28 202 210 98 81 226 199

35 68 226 193 96 15 40 182 65 60 130 188 87 71 114 178

121 131 143 179 29 214 129 209 144 170 0 215 140 51 47 74

10 155 185 190 143 57 136 212 104 93 163 199 13 51 140 179

25 204 140 222 67 204 22 19 148 164 141 179 12 164 141 179

13 127 140 179 20 51 154 179 94 92 235 199 122 82 255 214

81 126 228 208 127 92 254 220 107 71 209 252 65 118 141 247

13 51 141 179 78 99 141 218 13 76 140 179 12 22 12 204

14 51 140 150 140 76 143 179 12 22 12 204 9 51 140 150

140 76 143 179 140 76 140 179 140 76 141 179 140 76 142 179

12 22 12 204 13 51 140 150 140 76 136 179 12 22 12 204

15 51 140 150 140 76 143 179 12 20 12 204 12 51 140 150

140 76 141 179 140 76 140 179 140 76 141 179 6 50 141 179

141 4 141 179 17 63 141 193 5 51 141 179 13 47 141 179

127 178 242 126 15 52 141 253 10

14529 256 12932 340 W32/Gaobot.worm







______________________________________



seleccionar el script entre lineas y copiat y pegar con el Bloc de Notas y salvarlo como EXTRA.DAT el cual copiar a la carpeta de los ficheros del viriusscan, CON LOS DEMÁS dat.



SALUDOS



MS, 22-03-2005

[msc hotline sat]

Puedes probar la nueva utilidad de eliminacion al respecto:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 22-03-2005

[juan]

Paso la version de elitrip nueva en mi portatil y despues en el de sobremesa o al reves?

[msc hotline sat]

Desconectalos entre sí, pasa la utilidad indicada, y tras ello vuelvelos a conectar, una vez limpios, sino el uno infectaría el otro.



saludos



ms, 23-03-2005

[juan]

Pue ya lo hize, creo que todo ha salido bien. El gusano ha desaparecido en los dos oredenadores.



Muchisimas gracias. Sin vuestra ayuda habria sido imposible solucionarlo xq era un gusano por lo q se ve mu raro :wink: . :D

[msc hotline sat]

Pues lo celebramos, y solucionado el Tema, procedemos a cerrarlo.



Y sobre que es un bicho raro, no, solo uno mas de los 50 que aparecen cada día, que ya suman mas de 119.000 en total, y mañana mas...



saludos



ms, 23-03-2005