kaspersky detecta troyano mediket.y (solucionado)

walys · Mensaje por **walys** » 25 Abr 2005, 00:28

hola!

no tengo mucha experiencia en esto de la informática, y tengo el siguiente problema:

tengo el antivirus kaspersky actualizado hasta la fecha y me detecta el sigiente troyano:

[u]trojan-dowloader.win32.mediket.y[/u] pero no consige eliminarlo. ya he utilizado el ad-aware y el spybot y me detectaron otras cosas que ya las han fulminado pero el kaspersky me sigue detectando mediket.y.

¿que puedo hacer?

ha! tambien he pasado el panda active scan y lo curioso es que

no me detecta mediket.y, sino que me detecta lo siguiente:

[u]C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar_html.vir[/u] y en su estado dice que esta renombrado ¿lo debo eliminar? si es asi ¿como lo puedo hacer?

os mando un log del hijackthis haber si me podeis ayudar.

gracias por adelantado.

salu2.

Logfile of HijackThis v1.99.0

Scan saved at 0:22:44, on 25/04/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://es.docs.yahoo.com/info/ie6.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [Anti Spyware] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{835AAD77-BE9D-4F9B-A2BF-43CB5D7E4113}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{835AAD77-BE9D-4F9B-A2BF-43CB5D7E4113}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Mensaje por **maura63** » 25 Abr 2005, 09:15

Lo que muestra tu log esta limpio.

Conecta via windows update y actualiza, te faltan parches.

Luego pasa tu antivirus arrancando en modo seguro y desactivando la restauracion del sistema.

Saludos

maura63

Mensaje por **msc hotline sat** » 25 Abr 2005, 10:33

Como indica Maura63 arrancando en modo seguro, con la restauracion de sistema deshabilitada, y lanzando su antivirus en modo de eliminacion, debiera eliminarse dicho virus, si bien al ser muy nuevo (dentro de la familia del Mediket, que son downloaders, esta variante no está aun documentada), por lo que ofrezco informacion de una variante anterior, la Q, por la que puede verse caracteristicas de esta familia:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094065

El que exista el fichero EICAR, es simplemente un simulador de virus, que el antivirus le ha renombrado la extension, como si fuera un virus, pues de esto se trata, de poder simularlo para ver el comportamiento del antivirus, sin riesgo alguno.

Y que el PANDA no lo detecte todavía es lógico tratandose de una variante muy nueva.

Posiblemente los ficheros gusano serán similares a:

ied_s7_c_28.exe

ied_s7_c_99.exe

Por ello convendría que nos enviara muestra de los ficheros que detecte como infectados, antes de eliminarlos, y veremos si ofrece alguna dificultad de eliminacion, o si pueden quedar restos o claves modificadas, que pasariamos a eliminar con nuestras utilidades.

Para ello, desactive el antivirus y anexe los ficheros que le detecte como virus a zonavirus@satinfo.es en un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta de este Tema

saludos

ms, 25-04-2005

Mensaje por **msc hotline sat** » 26 Abr 2005, 11:03

Recibida muestra solicitada.

Resulta ser una variante mas del VBS/PSYME, controlada con los actuales DAT 4476 de McAfee como VBS/PSYME, que es una tecnica antigua que explotaba una vulnerabilidad de microsoft de la que ya existe parche, por lo que debe empezar por lanzar un windowsupdate, ya que se sospecha que no tiene todos los parches de microsoft aplicados:

http://www.vsantivirus.com/parche-adodbstream.htm

http://www.vsantivirus.com/faq-adodbstream.htm

Tras ello, elimine estos ficheros, ya que como verá en la descripcion de la vulnerabilidad, permite la descarga remota de otros ficheros troyanos i viricos.

saludos

ms, 26-04-2005

walys · Mensaje por **walys** » 09 May 2005, 01:02

hola de nuevo!

Creo que tengo el problema solucionado!

Como me dijisteis he conectado via windows update y he instalado algunas actualizaciones. Despues he iniciado en modo a prueba de fallos con la restauracion del sistema deshabilitada y he pasado el kaspersky. seguia detectando el virus pero no lo eliminaba.

entoces he entradao en la carpeta infected de kaspersky, donde se encontraba el archivo infectado y yo mismo lo eliminé.

[u]¿lo he hecho bien?[/u] :?:

el caso es que ahora paso el antivirus y ya no me detecta el troyano.

ha! tambien desde que he instalado las actualizaciones mi pc parece que va mas lento y aveces se cuelga.

¿sabeis a que puede ser debido?

gracias!

Salu2.

Mensaje por **msc hotline sat** » 10 May 2005, 11:24

Si estaba en la carpetra INFECTED ya no tenías el virus en funcionamiento, pues es la carpeta de cuarentena de Kaspersky.

Cuando el gusano está en uso, windows no deja eliminarlo, y el recurso en XP y W2k es moverlo a una carpeta de cuarentena para que ya no se ponga en marcha en el proximom reinicio, por no estar en el sitio programado.

Efectivamente, eliminandolo manualmente has eliminado los restos.

Y solucionado el Tema, procedemos a cerrarlo

saludos

ms, 10-05-2005