Para la mejora de utilerias de eliminación (solucionado)

efraingh · Mensaje por **efraingh** » 28 Mar 2005, 23:37

Hola, dejo este post, aunque no se si este bien colocado en esta parte del foro, para informar del reporte de algunas utilidades probadas.

Desafortunadamente, se me ha vuelto a escapar la copia de los archivos de la carpeta de temporales, y me imagino que al reiniciar se han perdido, porque no los encontre en las ubicaciones que segun maneja el reporte. Pero pongo el reporte para que tengan conocimiento de la existencia de dichos bichos.

Aqui estan las lineas del InfoSat.txt:

Fri Mar 18 22:23:52 2005

EliTriIP v1.11(c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\SVCSHOST.EXE.Muestra EliTriIP v1.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SVCSHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\WINAMP.EXE.Muestra EliTriIP v1.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINAMP.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\WUAMGRD.EXE.Muestra EliTriIP v1.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WUAMGRD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Cryptographic Service"="C:\WINDOWS\System32\suyab.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\WINDOWS\logon.exe"

Fri Mar 18 22:24:37 2005

EliTriIP v1.11(c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

C:\Archivos de programa\SpywareBlaster\spywareblaster.exe --> Eliminado

Sat Mar 19 08:42:12 2005

EliKipis v1.2 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%WinDir%\Security"

Sat Mar 19 08:48:47 2005

EliStartPage v5.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\JHRDS.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Bueno, este es el reporte, aunque no lo habia colocado antes, ya que no habia conectado, con eso de la semana santa.

De este reporte, cabe mencionar que habia instalado el spywareblaster, pero la utilidad de Elitriip borro el ejecutable, despues volvi a instalarlo e hice una copia del ejecutable, renombrandolo, y volviendo a correr la utilidad elitriip, volvio a borrar el ejecutable mas no el que renombre, asi que por lo que veo, el detalle esta en que lo elimino por el nombre mas no por el contenido que en si no es virus ni espias es el programa para protegerse de esos bichos, pero es bueno que exista la manera de solucionar el problema de que no elimine ese programa, mas no se como se le pueda decir. Me parece si mal no recuerdo lo borra cuando hace la busqueda en todo el disco duro y aparece en la parte inferior cuando esta escaneando el HDD.

De los otros programas que han sido borrados, esta vez parece que si son realmente virus o espias ya que no se me hace conocido ningun nombre, o ruta donde dice haber estado, como en el caso del winamp que no se instala en system32, sino en archivos de programa/winamp.

En otra PC que me toco ver, observe que el registro tenia cargados en Run de HKLM y HKCU programas de nombre:

suge.exe Registrado como: MSChoExE en la carga de win.

logon.exe REgistroad como: update run msword en la carga de win.

Sin embargo no los encontre, al parecer el antivirus los elimino, sin corregir el registro, no se si sean conocidos por ustedes.

Por otro lado, comento que tengo algunos archivos sospechosos que no los detecta tanto el Norton 2004 actualizado al igual que spybot y ad-aware. Pongo los nombres y me comentan si se los envio, estaban en la raiz del HDD y existia una carpeta llamada winnt/system32/dllcache en system32 existia varios archivos entre el que destacaba un firedaemon.exe y en los servicios de win existian algunos servicios vinculados a ese archivo, los deshabilite al no tener informacion de que hacian dentro del mismo sistema de win y dando clic derecho sobre el archivo.

24tgs.exe --> 314 bytes

cammand.exe --> 959.3 K

cmnd.exe --> 244 K

porn01.exe --> 159 K

Los ultimos 3 parecen ser comprimidos, ya que les aparece un icono como de winrar, al menos en la PC en la que los observe.

Saludos y espero comentario de los envios de los archivos, asi como tambien espero que sirva la informacion del reporte.

Efrain

P.D. Del jhrds.exe marcado en el reporte del infosat, el norton lo reporto como publicidad no deseada(Download.Adware), al igual que el wwh7.exe (Adware.Winfetch), los dos ubicados en system32 y con los correspondientes nombres de archivo iguales pero con extension dll.

Mensaje por **msc hotline sat** » 29 Mar 2005, 10:25

Tal y como se informa, la muestra a enviar está en el directorio que se indica y con el nombre especificado, incluido lo de muestra de..., y lo que se ha eliminado es el original para que, tras el siguiente reinicio, ya no incordie.

Sin las muestras indicadas nada podemos hacer, por lo que revise dichos directorios y vea si puede enviarlas, y si no, por lo menos le hemos sacado problemas de encima.

Solo en el SPYWAREBLASTER ha habido un falso positivo que pasamos a corregir, pues es una conocida utilidad antispyware.

Por otro lado, los ficheros indicados al final, envienoslos pues evidentemente hay alguno muy sospechoso, como el COMMAND.EXE, o el CMND.EXE, cuando los normales serían COMMAND.COM y CMD.EXE:

[quote]
24tgs.exe --> 314 bytes

cammand.exe --> 959.3 K

cmnd.exe --> 244 K

porn01.exe --> 159 K

[/quote]

Envienoslos todos con un copiar y pegar de este post como texto del mail

saludos

ms, 29-03-2005

efraingh · Mensaje por **efraingh** » 29 Mar 2005, 21:02

Hola, he enviado las muestras de los archivos sospechosos, de los otros que manejan las utilidades, como comentaba las fui a buscar, pero ya se que no estan en las ubicaciones habituales de los virus, sino en la carpeta temporales, en este caso fui a:

C:\Documents and Settings\Administrador\Configuracion local\Temp

En esa ubicacion deberian estar las muestras, y tenia activo mostrar todos los archivos y las extensiones, pero solo estaban algunos archivos de instalaciones, que no se porque esas no se pierden al reiniciar y si las muestras.

Por eso mencionaba que se me olvido copiarlas una vez que termine el analisis y reinicie, con lo que se borraron, porque no las encontre. Pero bueno, como mencionan lo bueno es que ayudaron a quitar bichos que daban "guerra"

Seria bueno hacer que se quedaran las muestras aun tras reiniciar, bueno es un poco arriesgado eso, pero creo que la mayor parte de las veces esta uno acostumbrado a una vez que termino el analisis reiniciar para ver como anda la PC.

De todas maneras gracias a todos los foreros que nos dan ayuda para la eliminacion de los virus y al Staff.

Saludos

Efrain

Mensaje por **msc hotline sat** » 30 Mar 2005, 10:24

Tal como se te indica, se eliminan los bichosde su ubicacion original, para evitar seguir procesandolas en el siguiente reinicio, si bien se migran a la carpeta que se indica para su posible restauracion si es del interes del usuario, como parece te interesa.

El fichero que nos has enviado es un ZIP en el que con los DAT actuales McAfee detecta dos aplicaciones potencialesmente maliciosas, en el CAMMAND.EX_, ficheros DISKINFO.EXE detectadndo un TOOL-Diskinfo y en FIKEDAEMON.EXE detectado como FILEDAEMON, ambos programas no deseados, potrencialmente peligrosos.

Estas aplicaciones si no las has instalado consientemente, convendría ponerlas en cuarentena.

Y considerando finalizado el caso, cerramos el Tema

saludos

ms, 30-03-2005