problemas y mas problemas!!!

[edimoney]

hola, el otro dia me ayudo vuestros consejos para eliminar unos cuantos virus y quedo todo bastante tranquilito; pero hoy otra vez me surgen los problemas,mi antivirus me detecta el w32.toxbot en el archivo system32\dhcpclient.exe no lo puede eliminar y cuando en modo seguro despues de haber deshabilitado la restauración del sistema intento lanzar el norton antivirus me dice que mi configuración actual no permite ActiveX y nada que no funciona????como se modifica esa configuración o es el virus?,por otra parte en modo seguro el administrador de tareas el s&d y el hijack no me permiten terminar el proceso dhcpclient.exe y apararece una y otra vez.¿que puedo hacer?

[maura63]

Arranca en modo seguro copia el proceso [color=red]dhcpclient.exe [/color] a un diskettes lo comprimes y envialo por e:mail a zonavirus@satinfo.es con un texto que sea un copiar y pegar de este post y MSC te respondera al respecto.



Saludos

maura63

[msc hotline sat]

Efectivamente hay una variante del 28 de Junio que responde a estas caracteristicas:



http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.html



Tan pronto como recibas la muestra indicada por maura63, se analizará y realizará utilidad de eliminacion, que seguramente añadiremos al ELITRIIP.EXE



saludos



ms, 30-06-2005

[edimoney]

imposible copiar la aplicacion, en modo normal aparece pero ni puedo copiarla ni actuar sobre ella; en modo seguro desaparece y no se encuentra

[maura63]

A ver Msc, la utilidad esa famosa de NTF.......



Saludos

maura63

[edimoney]

y ademas os intento enviar 3 archivos que no me gustan un pelo y me dice que mi servidor de correo no envio el mensaje por contener un virus

[maura63]

Lo has comprimido con win zip :?:



Saludos

maura63

[edimoney]

lo he comprimido con winrar

[maura63]

zip con pasword VIRUS



Saludos

maura63

[edimoney]

vale os he enviado unos archivos en zip sin password, no he podido copiar el archivo dhcpclient.exe pero en buscar archivos ha aparecido uno que no se de que va y os lo he enviado

[edimoney]

respecto a la solucion que da en symantec no puedo hacerlo manualmente porque no funciona el antivirus ni en modo normal ni en el seguro por lo que os comente antes de la configuración de los ActiveX :oops:

[msc hotline sat]

Pues tal como pedía Maura63, tenemos la utilidad ELITOTAL que elimina los privilegios de NTFS sobre ficheros , permitiendo acceder a ellos para copiarlos y demas.



Mira si con ella puedes quitarle estos privilegios y nos la pyedes enviar, pues asi podremos hacer deteccion por cadena y eliminar lo que haga el bicho:



ELITOTAL

http://www.zonavirus.com/datos/descargas/99/ELITOTAL.asp









saludos



ms, 30-06-2005

[edimoney]

ya me la descargue pero no surte ningun efecto

[msc hotline sat]

Recibidos tres zip, que pasamos a analizar.



En el primero, de entrada, encontramos una aplicacion potencialmente peligrosa, ya controlada por McAfee como HIDERUN, que permite ejecucion de programas sin ser vistos por el administrador de tareas, estos es, ocultando su proceso, de ahí su nombre HIDE RIN, (ejecucion oculta)



No se trata de ningun virus, sino de una aplicacion potencialmente peligrosa, avisandole de su existencia para poder eliminarla si no es de su interés, pero no es virus.



El resyltado al respecto con el VIRUSTOTAL (testeo con 19 antivirus simultaneos, accesible desde esta web, al final de los antivirus ONLINE):


[quote="VirusTotal"][b]

Antivirus Version Actualización Resultado [/b]



AntiVir 6.31.0.7 30.06.2005 SPR/Dloader.QC

Avira 6.31.0.7 30.06.2005 SPR/Dloader.QC

BitDefender 7.0 30.06.2005 Trojan.Hiderun.F

ClamAV devel-20050501 29.06.2005 Virtool.HideRun.A

DrWeb 4.32b 30.06.2005 Trojan.Hiderun

eTrust-Iris 7.1.194.0 29.06.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 30.06.2005 no ha encontrado virus

Fortinet 2.36.0.0 29.06.2005 Misc/Hiderun

Ikarus 2.32 30.06.2005 no ha encontrado virus

Kaspersky 4.0.2.24 30.06.2005 no ha encontrado virus

McAfee 4524 29.06.2005 potentially unwanted program HideRun

NOD32v2 1.1158 29.06.2005 no ha encontrado virus

Norman 5.70.10 30.06.2005 no ha encontrado virus

Panda 8.02.00 29.06.2005 Application/Hiderun.D

Sybari 7.5.1314 30.06.2005 no ha encontrado virus

Symantec 8.0 29.06.2005 no ha encontrado virus

TheHacker 5.8.2.063 30.06.2005 Aplicacion/HideRun

VBA32 3.10.4 30.06.2005 no ha encontrado virus


[/quote]

[edimoney]

la historia es que la he borrado un par de veces y vuelve a aprecer osea que supongo que estará controlada por otras aplicaciones¿no?

[msc hotline sat]

El segundo y ultimo fichero del escritorio.zip, NVIDEA.EXE es una variante del SDBOT no detectado todavía y que pasamos a controlar en la nueva version del ELITRIIP.EXE



Además, enviamos muestra a McAfee para su control en proximos DAT, pasando a engrosar los 50 que de promedio diario van apareciendo...



Seguiremos informando



saludos



30-06-2005

[msc hotline sat]

En el ZIP del DHCPCLIENT... solo hay ficheros .pf, los prefecth que sirven solo para lanzamiento rápido de los ejecutables, pero no nos sirven sin ellos. Esperamos pueda enviarnos muestra del EXE



Y en el tercer ZIP aparece un LOWZONES que está controlado por McAfee como REG/LOWZONES y que controlamos y eliminamos con el ELISTARA:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Tras todo lo cual insistimos en el envio, cuando sea posible, del DHCPCLIENT.EXE para poder obrar en consecuencia



saludos



ms, 30-06-2005

[edimoney]

como puedo enviaros el archivo dhcpclient.exe si no me deja modificarlo ni copiarlo ni nada de nada

[Sama]

a mi me paso igual pero e el archivo netddeclnt.exe con el mismo virus w32.toxbot ,para solucionarlo me dijeron que me bajara unas definiciones en esta pagina y al instalarlas el virus se fue:

http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.html

son para el norton,espero que funcione

[msc hotline sat]

Tal y como empezó a decirte Maura63 y terminé yo, mira de aplicart a este fichero el ELITOTAL por si tuviera aplicados privilegios de NTFS.



Y en cualquier caso, mira si puedes moverlos a otro sitio, como al escritorio, o incluso a un disquete, y luego ya sería nuestro.



Por otra parte hemos implementado al ELISTRIIP la eliminacion teorica del SDBOT/TOXBOT en la nueva version, que ahora trataré de subir a esta web.



Mira de enviarnoslo, y espera que te diga algo para probar la nueva version.



saludos



ms, 30-06-2005

[msc hotline sat]

Subida nueva version del ELITRIIP para eliminacion teorica del SDBOT/TOXBOT



Descargala a ver que tal



y nos comentas los resultados como respuesta de este Tema



saludos



ms, 30-06-2005



NOTA: Tambien en esta nueva version del ELITRIIP controlamos por cadenas la nueva variante del SDBOT contenida en el NVIDEA.EXE segun muestra que nos ha enviado. ms.

[edimoney]

vale, he podido mandaros el archivo dhcpclient.exe ya me comentareis de que va la movida.ha sido despues de lanzar la nueva version de elitrip no se si está todavia activo en mi ordenador,lo que si es que sigue sin dejarme lanzar el antivirus por la configuración de los ActiveX,¿sabeis a que se debe esto y como puedo solucionar esto?,otra cosa antes de lanzar elitrip me habia bajado una actualización de Norton2003 que el elitrip me la ha reconocido como infectada y la ha eliminado???;bueno un saludo y gracias.

[edimoney]

habeis recibido el fichero dhcpclient.exe que envie ayer¿sabeis ya alguna solución para que no se repita?

[msc hotline sat]

Lo último que hemos recibido ha sido un zip vacío, de lo que me han informado los tecnicos de la web de que ya te lo habían hecho saber, para que repitieras en envio, con contenido, claro :D :D :D



Ya estamos mas cerca de lograrlo.



saludos



ms, 1-07-2005

[edimoney]

ahora si que os lo he enviado, he tenido que restaurarlo desde la cuarentena del antivirus; vamos espero que si este enviado.ahora el antivirus me lo detecta inmediatamente y lo elimina,muy buena la nueva version de elitrip, ha sido la que de verdad a actuado desactivando el virus.

[msc hotline sat]

En cada version vamos implementando los nuevos conocimientos adquiridos y lo descubierto con las nuevas muestras, y así vamos mejorando.



Grcias por el comentario, y voy a preguntar a los tecnicos de la web a ver si lo han recibido (es que siempre andan con mas de 100 mails en cola de contestar, y si hay uno urgente, mejor darle prioridad



Te digo algo en cuanto lo consiga



saludos



ms, 1-07-2005

[msc hotline sat]

Efectivamente McAfee ha saltado en cuanto hemos desempaquetado el ZIP con password:



McAfee 4525 30.06.2005 W32/Sdbot.worm.gen.w



Se pasa a I+D para analisis y control con un nuevo ELITRIIP, aunque ya ayer con el ELITRIIP 1.47 de ayer ya se movía este fichero como sospechoso y se ponía fuera de circulación, si bien hoy con la muestra se podrán eliminar las claves generadas por el virus y eliminar cualquier copia con nombre aleatorio que pudiera haber creado en el disco duro.



Nos consta que utiliza nombres aleatorios como:



TrkWksrv.exe

dxdllsvc.exe

ciclient.exe

dhcpclient.exe

netddeclnt.exe



por esto es importante poderlo detectar en la exploracion por cadenas o string de control.



En pocas horas informaremos de la nueva version del ELITRIIP que lo controlará por cadenas



saludos



ms, 1-07-2005

[msc hotline sat]

Ya hemos subido la utilidad ELITRIIP que controla por cadenas esta variante del SDBOT:



elitriip

---v1.48---( 1 de Julio del 2005) (Muestra de SdBot.worm.gen.W "DHCPCLIENT.EXE")



Realmente en un bicho duro de pelar dado que tiene dos procesos en marcha, y al cerrar uno el otro lo restaura y viceversa



Pero ya en las pruebas finales, tras ejecutar la utilidad pide reiniciar y tras ello queda solucionado el problema.



Espero lo compruebes y nos indiques si lo consideras ya solucionado



saludos



ms, 1-07-2005