Problema eliminar new malware.q

[thex]

Hola compis,



Bueno resulta que una puñetera web me introdujo el new malware.q



Detectado rapidamente por el mcafee, y supuestamente eliminado.. pues no señores... el hp del virus sigue y sigue...



He probado con todos los soft que existen ad-ware, spy, sky, y un gran largo etc...



¿Alguien a conseguido eliminarlo o sabe como?



Un saludo,

thex

[msc hotline sat]

Los new..., es este caso new malware. son detecciones heurísticas del antivirus sobre malwares desconocidos, que aun no se sabe ni lo que hacen ni sus consecuencias.



Arranca en modo seguro y mueve este fichero a un directorio de cuarentena, y envianos una copia de dicho fichero a zonavirus@satinfo.es para que lo analicemos y podamos informarte al respecto. Para ello en el texto del e-mail indica como referencia REF MALWAREQ y asi te podremos contestar como respuesta a este Tema.



Si el troyano no es creado por algun dropper o downloader, puede que al reiniciar ya no lo encuentre en su sitio (al haberlo movido al directorio de cuarentena) y ya no incordie mas, si bien esto hay que verlo.



Por nuestra parte enviaremos la muestra a McAfee para su control en proximos DAT, y veremos si procede incluirla en alguna de nuestras utilidades de eliminacion o conviene hacer una nueva, si bien a priori veremos de controlarla con una nueva versión del ELISTARA.

Informanos al respecto como respuesta de este Tema, gracias



saludos



ms, 26-08-2005

[thex]

Gracias por la contestacion tan rapida,



Ok, intentare mandaros los archivos ya que el mcafee me detecta varios exe y algun dll.



Un saludo,

[msc hotline sat]

Para ver si otros antivirus ya lo conocen y como lo detectan, puedes utilizar el VIRUSTOTAL, que examinará uno de los ficheros con 21 antivirus diferentes, indicandote si lo detectan y como, y nos informas o nos copias el resultado en un proximo post, de respuesta a este, gracias



Te busco el link y te lo pongo:



Mira al final de la pagina de este link. En la línea de VIRUS TOTAL, primero pulsas EXAMINAR, seleccionas el fichero y luego le das a ABALIZAR ONLINE y en un minuto tendrñas elñ resultado, seleccionalo, copialo y pegalo en tu proximo post al respecto, gracias



http://www.zonavirus.com/antivirus-on-line/



saludos



ms, 26-08-2005

[jatriguero]

Tengo un archivo infectado que no se deja, limpiar, ni borrar, ni poner en cuarentena, ni copiar que es el javaiu.exe. He ido al enlace que sugerías y como el archivo es mayor de 10 megas me pide que lo comprima. Tampoco se deja comprimir. Tampoco se deja enviar. Perdonad por mi ignorancia, pero este archivo exe, como otros infectados son archivos creados por los troyanos o son archivos del sistema o de los programas que corren en windows?. Lo digo por que he borrado alguno y leyendo más arriba, se parece intuir que no se deben borrar. Pero era la única opción que me daba el mcaffee. Gracias.

[maura63]

Prueba con este otro programa, baja y actualiza.



Bazooka:

http://www.kephyr.com/spywarescanner/index.html





Saludos

maura63

[thex]

De nuevo por aqui...,



Bueno, antes de mandaros los archivos para que los revisarais he preferido intalarme el ultimo de los antivirus que no havia probado el panda 2005. Y estos son los resultados:



El panda me ha detectado el virus dichoso tanto en los archivos exe como en los dll y en el registro del window xp.



He reiniciado el equipo en prueba de fallos he pasado los dos virus tanto el panda como el mcafee, y nada ningun archivo.



Desinstalo el panda y reinicio el equipo.



¡¡SORPRESA!!... ahora el iexplorer se abre y no se cierra y no dice nada el mcafee. PERO... no puedo navegar, ni puedo descargar nada con el outlook...



Hay alguna solucion ahora a eso...¿?... He quitado un archivo que se llama gear..exe que se iniciaba con el win puede ser causa de eso¿?...

(tengo 2 eqipos, y con el otro navego y todo perfecto. Descartada la opcion de fallo de red)



Un saludo,

thex

[maura63]

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[jatriguero]

Hola he instalado el Adware y ha encontrado 36 objetos, pero el New Malware.q sigue ahí. nos si estará el el otro. Ahora estoy con el Spybot y me bajaré el enlace que me recomienda maura. Gracias por responder tan pronto. Ya os cuento.

[thex]

Que tal,



Bueno ya he utilizado unas cuantas veces el HijackThis. Pero lo volver ha pasar y os mandare el log.



Con el HijackThis es con el que he quitado el unico archivo que me parecia raro que era el gear..exe en windows.



Pero no se si sera la solucion para que vuelva a funcionar el iexplorer y el outlook.¿??¿?¿



He probado si tenia salida a internet con otro soft y perfecto el mcafee deja actualizarse. (descartada la opcion de fallo de salida)



_________

Para jatriguero, te recomendaria aun que se que a mi ahora no me deja navegar el panda internet segurity2005 (actualizado). Igual yo he eliminado algo con el HijackThis.





Un saludo y gracias,

thex

[jatriguero]

El bazooka scaner no hace nada, el scaneo es muy rápido y el NewMalware sigue ahí. No se que hacer, no hay demasiada información para el virus este que es bastante molesto. Me he descargado el Opera y va más rápido que el Explorer y sin estos problemas, pero el antivirus no para de dar mensajes sobre el troyano. Me parece que me paso a Linux, que pa algo lo tengo tb. De todos modos seguiré atento al foro. Alguien ha podido cargarse al bicho?? cómo??? Y sobre el Bazooka, no sé, lo estaré usando mal?? Gracias por la paciencia que teneis y tenemos los usuarios de este virus llamado windows. Hasta pronto.

[thex]

Hola compis,



Parece ser que he conseguido eliminar el muyyy p.... del virus.. jejje..



Todo con el panda, y bueno un archivo que tengo y que me gustaria mandaros que tengo con el mcafee en cuarentena.

El nombre del archivo es: apipm32.exe



Un saludo,

thex

[msc hotline sat]

Para jatriguero mira esta utilidad que ofrece ADMIN Para poder detener procesos en uso y asi eliminar el fichero:



https://foros.zonavirus.com/viewtopic.php?t=8182&highlight=



y para thex esperamos este fichero para poder ver de qué virus se trataba



saludos



ms, 26-08-2005

[jatriguero]

Ya he usado esa utilidad y he borrado el fichero javaiu.exe, pero ahora el antivirus no para de avisarme de un sinfin de ficheros infectados, los deleteo con el antivirus y siguen apareciendo avisos con nuevos fichero. ¿Hay alguna forma manual de cargarse el New Malware.q? programas, creo que he probado con todos. Ah! y el Start page-DU.dll tampoco para de darme mensajes falsos. ¡qué calvario! Tengo de todo, antivirus, firewall en hadware y software, el privace service, el bazooka, el cleaner, el spybot, el ad-ware y el unlocked. Si me falta alguno más, se agradece sugerencia. De todos modos insisto en que si alguien sabe como se hace manualmente, tb se agradece. Gracias.

[msc hotline sat]

El Start Page DU.DLL esta controlado con el ELISTARA.EXE



Bajalo y pruebalo:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Sobre el new malware q es posible que se trate de un downloader qie te haya descargado troyanos. Te lo confirmaremos cuando recibamos el fichero virico, y si es el caso, lo añadioremos al control del ELISTARA



saludos



ms, 27-08-2005

[darky_dv]

Hola a todos

Diskulpen las molestias pero, tengo el mismo problema del new malware.q ya me pase varios antivirus, antispywares, el spysweeper, entre otros pero el virus sigue ahi, no me he instalado el panda por ke me gustaria saber si no kausa inestabilidad del sistema si esta instalado el mc afee al mismo tiempo, por ke asi pasa kon el norton, algunos datos ke tengo del malware son:

C:WINDOWS\system32\ietu32.exe

C:WINDOWS\system32\accps.dll

C:WINDOWS\system32\addwi.exe

C:WINDOWS\winvr32.exe <--- es el ke mas aparece

no se pueden limpiar, borrar, ni poner en kuarentena.

ademas de ke me salen muchisimos avisos de ke la memoria no se puede (read) y unos numeritos asip: 00000000x16 algo asip

alguien puede darme alguna solucion plz =:::(

No kiero restaurar mi pc, tengo mushisimas kosas en mis dokumentos... :oops:

[msc hotline sat]

Los NEW MALWARE como ya indicamos anterioemente en este mismo Tema, son detecciones heuristicas de nuevos malwares desconocidos, y que hasta que no se nos envian muestras y se analizan, no se sabe ni lo que son ni lo que hacen.



Se indicó que nos enviaran muestras al respecto, lo cual le repetimos a Vd:


[quote="msc"]
Arranca en modo seguro y mueve este fichero a un directorio de cuarentena, y envianos una copia de dicho fichero a zonavirus@satinfo.es para que lo analicemos y podamos informarte al respecto. Para ello en el texto del e-mail indica como referencia REF MALWAREQ y asi te podremos contestar como respuesta a este Tema.



Si el troyano no es creado por algun dropper o downloader, puede que al reiniciar ya no lo encuentre en su sitio (al haberlo movido al directorio de cuarentena) y ya no incordie mas, si bien esto hay que verlo.



Por nuestra parte enviaremos la muestra a McAfee para su control en proximos DAT, y veremos si procede incluirla en alguna de nuestras utilidades de eliminacion o conviene hacer una nueva, si bien a priori veremos de controlarla con una nueva versión del ELISTARA.

Informanos al respecto como respuesta de este Tema, gracias


[/quote]

Mientras sea detectado como new malware, señal que no se ha analizado y la deteccion es heuristica, sin mas datos al respecto



saludos



ms, 28-08-2005

[jatriguero]

Hola El star page está fuera de combate, gracias. El otro ahí sigue, aunque ahora parece más calladito. De repente le da por manifestarse y crear archivos infectados. No sé si será que trata de engañarme pero el antivirus ha diagnosticado un dll del propio antivirus infectada. Eso si, no lo he borrado. ¿Es raro no? Saludos. Ah! os he enviado el archivo despues del chequeo.

[msc hotline sat]

No me han entregado ningun mail con la referencia de MALWAREQ, como quedamos.



De todas formas hay unos 200 en cola que vamos procesando a marchas forzadas, ya que hemos estado de vacaciones y ahora aun estamos a media plantilla.



En cuantg me lo entreguen se analizará y te informaré como respuesta de este Tema



saludos



ms, 31-08-2005

[msc hotline sat]

Puestos al día de mails pendientes, no ha aparecido ninguno con la referencia de este Tema, por lo que si quieres que lo examinemos vuelvelo a enviar, segun las instrucciones que se indicaron



De todas formas. como que una muestra de las tres para las que hoy hemos potenciado el ELIBDCSL con la version v 1.6, era detectado por McAfee, segun el analisis de VirusTotal como NewMalware.Q, segun resumen:


[quote]
Este es el resultado de analizar el archivo "M11.gxe" que VirusTotal ha procesado el dia 01/09/2005 a las 16:07:45 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.31.1.0 01.09.2005 TR/Agent.BI

Avast 4.6.695.0 31.08.2005 no ha encontrado virus

AVG 718 31.08.2005 no ha encontrado virus

Avira 6.31.1.0 01.09.2005 TR/Agent.BI

BitDefender 7.0 01.09.2005 GenPack:Trojan.Agent.BI

CAT-QuickHeal 8.00 01.09.2005 (Suspicious) - DNAScan

ClamAV devel-20050725 01.09.2005 no ha encontrado virus

DrWeb 4.32b 01.09.2005 no ha encontrado virus

eTrust-Iris 7.1.194.0 31.08.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 01.09.2005 no ha encontrado virus

Fortinet 2.41.0.0 01.09.2005 suspicious

F-Prot 3.16c 01.09.2005 security risk named W32/Agent.SH

Ikarus 0.2.59.0 01.09.2005 no ha encontrado virus

Kaspersky 4.0.2.24 01.09.2005 no ha encontrado virus

McAfee 4571 31.08.2005 New Malware.q

NOD32v2 1.1207 31.08.2005 Win32/TrojanDownloader.Agent.BQ

Norman 5.70.10 31.08.2005 no ha encontrado virus

Panda 8.02.00 31.08.2005 no ha encontrado virus

Sophos 3.97.0 01.09.2005 no ha encontrado virus

Symantec 8.0 31.08.2005 no ha encontrado virus

TheHacker 5.8.2.098 01.09.2005 no ha encontrado virus

VBA32 3.10.4 01.09.2005 Trojan.Win32.Agent.bi







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com
[/quote]

prueba esta nieva version del ELIBDCSL y nos cuentas el resultado como respuesta de este tema, gracias





ELIBDCSL.EXE

http://www.zonavirus.com/datos/descargas/178/ELIBDCSLEXE.asp





saludos



ms, 1-09-2005