trojan-proxy.win32 y backdoor.win32 (SOLUCIONADO)

calandracas · Mensaje por **calandracas** » 31 May 2006, 21:44

hola d nuevo una vez mas reclamo vuestra ayuda, hemos pasado un antivirus online concretamente el kaspersky y nos ha detectado el trojan-proxy.win32.horst.bg y el backdoor.win32.medbot.ba cosa q el antivirus instalado el bitdefender 9 no encontraba, q podemos hacer??

Mensaje por **msc hotline sat** » 01 Jun 2006, 07:37

Pues utillizar el mismo que te lo detecta !

Kaspersky es muy superior, sin duda alguna

Por cierto, no conozco el link de su ONLINE, solo el de analisis de ficheros puntuales, posteanos el que dices que te examinó el disco duro detectando los virus, gracias

Si no lo quieres instalar, si usas XP o 2000 y tienes ADSL a traves de router. arranca en modo seguro con funciones de red y con el ONLINE que te lo detecte, mira si te lo eliminarlo

Si tienes problemas en ello, envianos los ficheros que te detecten infectados a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques REF MEDBOT y tras analizarlos, implentaremos su control y eliminacion en nuestras uitilidades, de lo cual informaremos

saludos

ms, 1-6-2006

Mensaje por **maura63** » 01 Jun 2006, 08:55

Pues por aqui anda, es muy reciente

http://blog.hispasec.com/laboratorio/20

http://www.kaspersky.com/virusscanner

Saludos

maura63 :mrgreen:

Mensaje por **msc hotline sat** » 01 Jun 2006, 10:21

Muy bien, desde luego debe ser muy reciente y aun no me había enterado...

A ver si es como el de CAI, que puede escanear cualquier unidad y ademas puede limpiar o como el de otros, que solo mira disco duro y alguno solo escanea, sin limpiar...

Si es del estilo de CAI sera ideal, pero me temo que no caerá esta breva.

Si lo habeis probado informad, please

Yo lo miraré cuando pueda :lol:

saludos

ms. 1-6-2006

Mensaje por **maura63** » 01 Jun 2006, 17:48

Pues efectivamente....no caera la breva.

Aunque no ha encontrada nada al pasorlo a un PC, en el online de CA ya de por si, aparece el famoso boton de LIMPIAR.

Pero en el online de Karpesky......... pues va a ser que NO.

Solo informa.

Saludos

maura63

Mensaje por **msc hotline sat** » 01 Jun 2006, 18:23

No he podido mirarlo todavía... Sabes si puedes escabear cualquier unidad o carpeta, como el de CAI, o ya se mete por defecto en el disco duro ???

Sino lo sabes no te preocupes, ya lo miraré yo, pero es que esta noche tengo sesion larga de cine :lol: :lol: :lol: :lol:

saludos

ms, 1-6-2006

calandracas · Mensaje por **calandracas** » 01 Jun 2006, 19:04

wenas....

justo este es el q s paso al pc, no no puedes elegir unidad alguna, empieza a saco y tan solo t muestra lo q tienes, por eso no lo pudimos eliminar nosotros mismos....a ver si hoy os puedo mandar copia d los arxivos

P.D.q disfrutes d esa sesion d cine, q envidia m das....

calandracas · Mensaje por **calandracas** » 01 Jun 2006, 19:54

lo d arrancar en modo seguro descartao no tiene router, en un ratillo os mandamos un correo con copia d los arxivos infectados

calandracas · Mensaje por **calandracas** » 01 Jun 2006, 22:48

os pongo el informe del scaneo online y os mando copia d los ejecutables infectados

KASPERSKY ON-LINE SCANNER REPORT

Thursday, June 01, 2006 10:10:41 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 1/06/2006

Kaspersky Anti-Virus database records: 185874

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

A:\

C:\

D:\

E:\

F:\

G:\

Scan Statistics

Total number of scanned objects 87193

Number of viruses found 2

Number of infected objects 4

Number of suspicious objects 0

Duration of the scan process 00:51:11

Infected Object Name Virus Name Last Action

C:\System Volume Information\_restore{A1CD57F8-F460-48FB-8BA4-A76658DE51FD}\RP189\A0036383.exe Infected: Trojan-Proxy.Win32.Horst.bg skipped

C:\System Volume Information\_restore{A1CD57F8-F460-48FB-8BA4-A76658DE51FD}\RP189\A0036384.exe Infected: Trojan-Proxy.Win32.Horst.bg skipped

C:\System Volume Information\_restore{A1CD57F8-F460-48FB-8BA4-A76658DE51FD}\RP195\A0037834.exe Infected: Backdoor.Win32.Medbot.ba skipped

C:\System Volume Information\_restore{A1CD57F8-F460-48FB-8BA4-A76658DE51FD}\RP196\A0037975.exe Infected: Backdoor.Win32.Medbot.ba skipped

Scan process completed

Mensaje por **msc hotline sat** » 02 Jun 2006, 10:18

Los tienes en el RESTORE !!!

Desactiva la restauracion de sistema y arranca en modo seguro para poder eliminarlos:

https://foros.zonavirus.com/viewtopic.php?t=5266

saludos

ms, 2-5-2006

Nota: Cuando recibamos los ficheros que dices habernos enviado, los implementaremos en nuestras utilidades, pero dinos si lo has enviado a virus@satinfo.es o a zonavirus@satinfo.es pues son canales diferentes y los buscaremos para dar prioridad a dichas muestras. ms..

Mensaje por **msc hotline sat** » 02 Jun 2006, 12:32

Acaban de llegar las muestras a la cuenta de zonavirus. Entran en proceso.

Seguiremos informado

saludos

ms, 2.6.2006

Mensaje por **msc hotline sat** » 02 Jun 2006, 13:29

Son variantes del exmodul32 que tantos Temas nos ha ocupado !

Dos de ellos ya los controlamos con el ELITRIIP, y los otros dos los pasaremos a controlar en la proxima version de eesta utilidad:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 2-6-2006

calandracas · Mensaje por **calandracas** » 02 Jun 2006, 14:55

esasto los mandamos a zonavirus, imagino q en un par d dias tendreis lista la medicina....weno esta noxe desabilitaremos la restauracion del sistema y entramos en modo seguro e imagino q sera buscar y eliminar....ya os cuento

Mensaje por **msc hotline sat** » 02 Jun 2006, 15:48

Ya he indicado que lance el ELITRIIP actual, que le eliminarña dos, y los otros dos, con la version que esperamos poder subir esta misma tarde.

saludos

ms, 2-6-2005

calandracas · Mensaje por **calandracas** » 02 Jun 2006, 19:08

si si ya te lei, m referia a las 2 restantes, aunke ahora m pones en duda para lanzar elitriip entro en modo seguro y desabilitando restauracion del sistema??

Mensaje por **msc hotline sat** » 02 Jun 2006, 19:46

Ya tienes subida la nueva version en esta web. en plan de emergencia, tanto del ELITRIIP como del ELISTARA

Descargala, pruebala y comentanos el resultado

El ELITRIIP ya accede a todas partes, pero no pasa nada si la lanzas conforme indicado

saludos

ms, 2-6-2006

calandracas · Mensaje por **calandracas** » 02 Jun 2006, 21:54

weno parece estamos limpios...antes d q pusierais la nueva version hemos kitado la restauracion del sistema y entrado en modo seguro y eliminado los ejecutables, despues al ver q ya lo habiais colgado lo hemos pasado y no ha pillado nada d nada, s pasa el kaspersky online y no detecta nada.....una vez mas gracias...un saludo

Mensaje por **msc hotline sat** » 03 Jun 2006, 12:28

Pues felicidades, pero aun sin decir nada, la nueva version ha corregido el registro de sistema, aunque no encontrara los ficheros infectados, cosa que mo hacen los antivirus pero sí nuestras utilidades, asi que bien por probarla !

y nos alegramos que se haya solucionado el problema, procediendo en consecuencia a cerrar el Tema

saludos

ms, 3-6-2006