Win 32: Trojano-2046 !Que Hago¡

murbat · Mensaje por **murbat** » 04 Oct 2005, 20:37

Amigos, mi sistema operativo es XP, tengo el avast instalado y es super bueno pues me detecta todo lo que aparece por ahi. El caso que hace algunos dias aparecio El Trojano 2046 y el Avast si bien lo detecta no lo elimina. He seguido todos los pasos ya, modo seguro, restarurar sistema apagado, spy bot, spyware Dr., Lavasosft ad aware, ademas de dos o tres especialistas en agarrar troyanos y nada. Lo curioso que he corrido un par de antivirus en linea y no detectan nada, incluso cuando corro el Avast igualmente me da sin virus, pero en cuanto reseteo el equipo inmediatamente aparece el alerta de este virus en el avast. C: antivirus.exe aparece como la direccion de alojamiento del virus. Nunguna de las opciones que tiene avast logra quitarlo. Tampoco ningun otro sistema ni siquiera aparece que el exista. Que se hace? Una vez mas gracias de antemano.

Murbat

Mensaje por **maura63** » 05 Oct 2005, 09:21

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

murbat · Mensaje por **murbat** » 05 Oct 2005, 15:11

Espero que sea esto lo que me piden, gracias.

Logfile of HijackThis v1.99.1

Scan saved at 09:08:29 a.m., on 05/10/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Avant Browser\avant.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\DBARAV~1.ARA\CONFIG~1\Temp\Rar$EX00.401\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~3\tools\iesdsg.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~3\tools\iesdpb.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Archivos de programa\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Microsoft Windows WinSaSS Management] winsass.exe

O4 - HKLM\..\Run: [CacheBoost] C:\Archivos de programa\CacheBoost\trayicon.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\RunServices: [Microsoft Windows WinSaSS Management] winsass.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Microsoft Windows WinSaSS Management] winsass.exe

O4 - HKCU\..\RunServices: [Microsoft Windows WinSaSS Management] winsass.exe

O4 - Startup: ScreenHunter 4.0 Free.lnk = C:\Archivos de programa\Wisdom-soft ScreenHunter Free\ScreenHunter.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Abrir en Avant Browser nuevo - C:\Archivos de programa\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~3\tools\iesdpb.dll

O16 - DPF: {3a4f9191-65a8-11d5-85c1-0001023952c1} (TE) - http://www.skylinesoft.com/interactive/terraexplorer/install/TE.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CacheBoost Performance Optimizer and Tuner Service (CacheBoost Service) - Systweak India - C:\Archivos de programa\CacheBoost\cbsrv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Mensaje por **maura63** » 05 Oct 2005, 15:30

Nunca has actualizado el sistema operativo.

Descarga y ejecuta estas dos utilidades

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues instala el SP1 del XP

INSTALACION DEL SP1 PARA PODER INSTALAR SP2:

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

Despues conecta via windows update y sigue actualizando que quedan muchos parches

por instalar.

Saludos

maura63

murbat · Mensaje por **murbat** » 05 Oct 2005, 17:21

Maura, gracias.

Descargue Elistara y acepte lo que me pedia el cuadrito. Ahora bien el otro ELitriip imposible de bajarlo pues no abre el archivo para bajarlo a pesar que trate repetidamente no baja la descarga.

Mensaje por **maura63** » 05 Oct 2005, 17:25

Ya esta avisado Admin del problema.

Un poco de paciencia por favor.

Saludos

maura63

murbat · Mensaje por **murbat** » 10 Oct 2005, 04:42

Gracias Maura, despues de un par de dia al fin pude descargar el Elitrip y completar todos los pasos que me indico. La verdad que despues de eso Mi PC recupero bastante sin embargo seguia igual con el problema del troyano segun me indicaba mi antivirus Avast. Comenze a probar una docena de mata bichos que baje de internet y al fin uno de ellos logro conseguir al intruso y darme el nombre del mismo Rootkit. Agent.X pero tampoco me lo elimino por lo que con la descripcion consegui un programa que lo eliminaba, lo cual efectivamente hizo. En todo caso este me identifico otro troyano Backdoor.Agobot. El cual a pesar de todos los esfuerzo no he logrado eliminar pero logre ubicar exactamente donde estaba : C:\Windows\system32\winsass.exe

Como no sabia que hacer lo unico que se me ocurrio agarrar todo eso y mandarlo a la papelera de reciclaje sin saber ahora que hacer con el pues en cuanto lo hice me aparecio una ventana de Micrososft cominucando que ese archivo habia sido movido y que reportara el problema a Microsoft, no lo hice pues yo se a que se debe la razon de eso yo lo movi a la papelera.

En la papelera aparece el archivo descrito asi: Winsass.exe.Vir, Archivo.Vir, 240 Kb. Lo que temo si lo elimino sin saber llevarme una parte sana de mi compu, por lo que AUXILIO., gracias por la paciencia.

Mensaje por **maura63** » 10 Oct 2005, 09:35

Arranca en modo seguro y desactiva antes la restauracion del sistema como se explica en

https://foros.zonavirus.com/viewtopic.php?t=5266

Lanza tu antivirus y anti-spyware y elimina todo lo que detecte.

Saludos

maura63

Mensaje por **msc hotline sat** » 10 Oct 2005, 15:03

Como sea que este Agobot o Gaobot que es lo mismo, no fue detectado por el ELITRIIP, tampoco se restauraron las claves de registro que el bicho modificó, lo cual conviene hacer y lo podrás hacer comodamente ejecutando la nueva version del ELITRIIP que hagamos en base a la muestra del fichero en cuestion.

Por ello te pedimos que nos envies a zonavirus@satinfo.es el fichero que moviste a la papelera, "En la papelera aparece el archivo descrito asi: Winsass.exe.Vir, Archivo.Vir, 240 Kb." y que por el simple hecho de haber sido renombrado a .VIR ya no entraña peligro, pero deben limpiarse sus restos en el registro.

Lo anexas a un mail en cuyo texto indiques REF WINSASS e implementaremos su control, eliminacion y restauracion de las claves en el proximo ELITRIIP

Igualmente, tras ello, haz lo indicado por maura63. de arrancar en modo seguro y eliminar virus y troyanos que encuentres.

saludois

ms, 10-10-2005

murbat · Mensaje por **murbat** » 10 Oct 2005, 15:09

Maura, disculpe, pero estoy un poco confundido con su ultima instruccion. Yo ya todo eso lo hice y como resultado es que tengo un archivo o carpeta identificada como C:\windows\system32\winsass.exe en mi papelera de reciclaje que no se si la elimino manualmente sin peligro desde alli o que. Siguiento al pie de la letra sus anteriores instrucciones practicamente limpie varios problemas que tenia y solo queda pendiente esto ultimo.

Mensaje por **maura63** » 10 Oct 2005, 15:12

Haz lo indicado por Msc y envia una muestra.

No eliminines manualmente, ellos veran que claves modifica y la utilidad que creen

regenerara los dañados.

Saludos

maura63

murbat · Mensaje por **murbat** » 10 Oct 2005, 15:30

No habia leido la respuesta de MSC pues se cruzo con mi ultima.

Sorry, como hago para poder enviarles la muestra? Mis conocimientos son elementales, a pesar que con Uds. uno aprende muy rapido, paciencia please.

Mensaje por **maura63** » 10 Oct 2005, 15:39

Lo anexas a un mail en cuyo [color=red]texto indiques REF WINSASS [/color]e implementaremos su control, eliminacion y restauracion de las claves en el proximo ELITRIIP .

Copialo si quieres de la papelera a un diskette y lo mandas con un e:mail a zonavirus@satinfo.es

Saludos

maura63

murbat · Mensaje por **murbat** » 10 Oct 2005, 17:18

Sigo igual Maura. Voy a la papelera pero no tengo opciones para hacer copias ni enviar por email. Solo tengo opciones de eliminar o reestablecer el archivo a su sitio original, no consigo la forma de copiarlo y enviarlo a Uds.

Mensaje por **maura63** » 10 Oct 2005, 17:25

Por ejemplo

Inserta el diskette en la unidad A, luego abres mi pc y pincha sobre dicha unidad, acontinuacion abre la papelera de reciclaje pones dicha ventana mas pequeña de tamaño para que veas la unidad A y arrastralo al diskette.

Luego lo adjuntas al e:mail que mandes.

Saludos

maura63

Mensaje por **msc hotline sat** » 10 Oct 2005, 17:26

En cuanto llegue procederemos a su analisis.

Posiblemente corresponda a la siguiente descripcion de sophos:

[quote]
W32/Rbot-APW

Summary

Summary Description Recovery Advanced

Profile Prevalence: low high

Name W32/Rbot-APW

Type Spyware Worm

How it spreads Network shares

Affected operating systems Windows

Side effects Turns off anti-virus applications

Allows others to access the computer

Steals information

Records keystrokes

Installs itself in the Registry

Protection Download virus identity (IDE) file

Protection available since 1 October 2005 15:54:09 (GMT)

Included in our products from November 2005 (3.99)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Staying up to date

EM Library provides fully automated updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.

Description

Summary Description Recovery Advanced

This section helps you to understand how it behaves

W32/Rbot-APW is a worm and IRC backdoor Trojan for the Windows platform.

W32/Rbot-APW spreads -

- to other network computers by exploiting common buffer overflow vulnerabilities, including LSASS (MS04-011), WKS (MS03-049), RPC-DCOM (MS04-012) and ASN.1 (MS04-0007)

- to other network computers running MSSQL servers protected by weak passwords

- by copying itself to network shares protected by weak passwords

W32/Rbot-APW runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer via IRC channels.

W32/Rbot-APW includes functionality to:

- perform port scanning

- carry out DDoS flooder attacks

- silently download, install and run new software

- steal information

When first run W32/Rbot-APW copies itself to <System>\winsass.exe.

W32/Rbot-APW may attempt to drop the file C:\antivirus.exe. This file is detected as Troj/RKFu-B.

W32/Rbot-APW may attempt to modify the HOSTS file to prevent access to certain websites.

W32/Rbot-APW attempts to terminate certain processes related to anti-virus and security programs.

Recovery

Summary Description Recovery Advanced

This section tells you how to disinfect.

Please follow the instructions for removing worms.

Advanced

Summary Description Recovery Advanced

This section is for technical experts who want to know more.

W32/Rbot-APW is a worm and IRC backdoor Trojan for the Windows platform.

W32/Rbot-APW spreads -

- to other network computers by exploiting common buffer overflow vulnerabilities, including LSASS (MS04-011), WKS (MS03-049), RPC-DCOM (MS04-012) and ASN.1 (MS04-0007)

- to other network computers running MSSQL servers protected by weak passwords

- by copying itself to network shares protected by weak passwords

W32/Rbot-APW runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer via IRC channels.

W32/Rbot-APW includes functionality to:

- perform port scanning

- carry out DDoS flooder attacks

- silently download, install and run new software

- steal information

When first run W32/Rbot-APW copies itself to <System>\winsass.exe.

W32/Rbot-APW may attempt to drop the file C:\antivirus.exe. This file is detected as Troj/RKFu-B.

W32/Rbot-APW may attempt to modify the HOSTS file to prevent access to certain websites.

W32/Rbot-APW attempts to terminate certain processes related to anti-virus and security programs.

The following registry entries are created to run winsass.exe on startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Windows WinSaSS Management

winsass.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Microsoft Windows WinSaSS Management

winsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Windows WinSaSS Management

winsass.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Windows WinSaSS Management

winsass.exe

Registry entries are set as follows:

HKCU\SYSTEM\CurrentControlSet\Control\Lsa

Microsoft Windows WinSaSS Management

winsass.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Microsoft Windows WinSaSS Management

winsass.exe

HKCU\Software\Microsoft\OLE

Microsoft Windows WinSaSS Management

winsass.exe

HKLM\SOFTWARE\Microsoft\Ole

Microsoft Windows WinSaSS Management

winsass.exe

© 1997-2005 Sophos Plc. All rights reserved. Legal | Privacy

[/quote]

seguiremos informando.

saludos

ms, 10-10-2005

murbat · Mensaje por **murbat** » 10 Oct 2005, 18:00

Muy Extraño. Yo lei una respuesta de Maura donde me instruia de copiar en un disquette el archivo WinSass y enviarlo a Uds. via email. Yo respondi que yo entraba a la papelera pero no conseguia por ningun lado la opcion para copiar en disquete el archivo ni tampoco forma de enviar via email desde ahi. Luego de eso entro al tema de conversacion y ha desaparecido la instruccion de Maura e igualmente se desaparecio mi ultimo comentario que acabo de comentarles. Sera producto de los mismos virus? En todo caso si llega a Uds. favor aclararme como hago para enviar a Uds. por mail.

Mensaje por **maura63** » 10 Oct 2005, 18:02

murbat, lo que pasa es que al llehar a un cierto nuemero de respuestas , pasan a una seguna pagina.

Al final pincha en 1

Estas la respuesta mia al final de la primera pagina

maura63 Publicado: Lun Oct 10, 2005 5:25 pm Asunto:

--------------------------------------------------------------------------------

Por ejemplo

Inserta el diskette en la unidad A, luego abres mi pc y pincha sobre dicha unidad, acontinuacion abre la papelera de reciclaje pones dicha ventana mas pequeña de tamaño para que veas la unidad A y arrastralo al diskette.

Luego lo adjuntas al e:mail que mandes.

Saludos

maura63

murbat · Mensaje por **murbat** » 10 Oct 2005, 18:34

Maura:

Segui fiel las instrucciones pero cuando arrastro el archivo al disquette me aparece lo siguiente:

"no se puede copias DC1: se ha denegado acceso. Comprobar que disco no este lleno ni protegido contra escritura y que el archivo no este actualmente en uso"

Puedo dar fe que el Disquette esta limpio, del resto ????

Gracias.

Mensaje por **maura63** » 10 Oct 2005, 18:39

Prueba a copiarlo arrancando en modo seguro de la misma forma.

Saludos

maura63

Mensaje por **msc hotline sat** » 10 Oct 2005, 19:38

Y para enviarlo, desactivar el antivirus residente, no sea que ya lo controle el antivirus actualizado y esté impidiendo el acceso al mismo.

saludos

ms, 10-10-2005

murbat · Mensaje por **murbat** » 10 Oct 2005, 21:16

Al fin logre meterlo en el disquette. El problema ahora es que cuando trato de enviarlo por correo el antivirus del distema de correo me bloquea el envio pues me dice que el archivo esta infestado. Probe con correo yahoo y hotmail y ambos casos el mismo problema. Como puedo enviarlo entonces?

gracias.

Mensaje por **maura63** » 10 Oct 2005, 21:21

Utiliza winzip por ejemplo para comprimirlo y enviarlo, ponle como contraseña VIRUS.

Saludos

maura63

Mensaje por **msc hotline sat** » 11 Oct 2005, 16:28

Ultima revision de muestras recibidas no se ha recibido muestra al respecto de este Tema.

Además de hacerlo segun indica maura63, desactivar el antivirus residente por si alguna actualizacion ya lo detectara e impidiera su acceso !!!

saludos

ms, 11-10-2005

murbat · Mensaje por **murbat** » 13 Oct 2005, 02:26

Maura/MSC. Paso a explicar lo que me ocurrio. Intente usar winzip para comprimir y enviar el archivo del virus pero lamentablemente cuando abrio las ventanas para despachar el correo me pedia una informacion que no sabia como responder. Si mal no recuerdo una ventana se referia a si era Http o algo asi yo seleccione algo pero el sistema no me acepto por lo que no pude hacerlo. En un segundo intento abri el disquette y tan pronto lo hice se abrio mi antivirus para informarme que tenia el famoso virus, inadvertidamente acepte algo y el antivirus me borro el archivo del disquette. Lo he buscado en la pepelera y tampoco lo consigo. Que estupidez verdad. Si hay algo mas que se pueda hacer? disculpen mi torpeza.

Murbat

murbat · Mensaje por **murbat** » 13 Oct 2005, 15:16

Tal cual como les informo en el post anterior el archivo se desaparecio del disquette, pero luego lo consegui en mi disco duro nuevamente y lo regresse al disquette. Aparecen ahora dos carpetas con el mismo nombre solo que una de ellas tiene un numero 0000. Pincho ambas carpetas y con el boton derecho del mouse cliqueo, selecciono el zipup and email, abre una ventana de outlook, acepto, se abre una ventana con un formato para llenar emails, aparece el archivo adjunto, coloco la direccion email de Uds., luego no encuentro ninguna opcion que me permita despachar el email. He buscado por todas partes entre las opciones y nada. Como sigo?

PS Por cierto aun estoy en modo seguro que es la unica forma que me deja copiar al disquette los virus.

Mensaje por **maura63** » 13 Oct 2005, 16:06

Abre tu correo y pincha en adjuntar el archivo buscandolo en el PC y una vez adjuntado envialo.

Saludos

maura63

Mensaje por **msc hotline sat** » 13 Oct 2005, 16:37

Mientras llega el fichero, con lo que podremos controlarlo por cadenas, hemos implementado en el nuevo ELITRIIP 1.70 de hoy, el control teorico del WINSASS segun descripcion de Sophos para el RBOT, pidiendo muestra pero ya eliminando claves modificadas.

Pruebelo en su equipo, aparte de la mejora que hagamos con el cobtrol por cadenas, que haremos en cuenato nos llegue la muestra.

saludos

ms, 13-10-2005

murbat · Mensaje por **murbat** » 16 Oct 2005, 19:53

Maura/MSC

Abri el ultimo elitripp 1.7 como fue recomendado. No parece que consiguio nada mal pues no relaciono errores.

Al fin pude despachar via email el archivo con el virus. Espero lo reciban conforme. Estare a la espera de nuevas instrucciones.

Murbat

Mensaje por **msc hotline sat** » 16 Oct 2005, 20:06

Por esto pedimos la muestra, para controlarlo por cadenas, y que las descripciones son genericas y aplicables a la variante examinada, mientras que el examen de la muestra permite conocer la cadena con que detectar la variante en cuestion.

No me consta que se haya recibido la muestra solicitada. En cualquier caso, en cuanto se reciba será analizada, y si en el e-mail se indica la referencia indicada en este tema, se comentará en el foro.

saludos

ms, 16-10-2005