aviso de virus que no desaparece (SOLUCIONADO)

Drobbit · Mensaje por **Drobbit** » 13 Jul 2006, 20:36

he leído un hilo donde se soluciona un problema muy parecido al mio pero no he logrado solucionarlo (o entender la solución) y tras pasar el ElistarA dice haberme eliminado un troyano llamado Poper y el programa Spyware Quake, pero el aviso de virus sigue ahí.

Como me pide el ElistarA os reporto el c:\InfoSAT.txt

Wed Jul 12 23:20:17 2006
EliStartPage v11.47 (c)2006 S.G.H. / Satinfo S.L.

Código: Seleccionar todo

--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\WINGSA32]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\WINGSA32.DLL
 a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\Documents and Settings\will-O-wisp\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

	  Wed Jul 12 23:20:58 2006
EliStartPage v11.47  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\WINGSA32]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\WINGSA32.DLL
 a "virus@satinfo.es". Gracias.

	  Thu Jul 13 20:03:19 2006
EliStartPage v12.08  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\WINGSA32]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\WINGSA32.DLL
 a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\STDOLE3.TLB -->  Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\REGPERF.EXE -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Jul 13 20:07:14 2006
EliStartPage v12.08  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\WINGSA32]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\WINGSA32.DLL
 a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\REGPERF.EXE --> Eliminado 
Eliminada Carpeta "%WinSys%\1024"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Jul 13 20:08:46 2006
EliStartPage v12.08  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\SpyQuake2.com\SPY-QUAKE2.EXE --> Eliminado, SpywareQuake (antispy)

Y he enviado el archivo en c:\Winlogon (un dll) y el archivo en C:\Muestras

Mensaje por **msc hotline sat** » 13 Jul 2006, 21:17

Este foro tiene privilegios y para otra vez recuerda:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Asi no van a parar al monton, y ademas le damos prioridad y podemos indicar cualquier incidencia al respecto al forero que nos las envia ...

De todas formas TODAS las muesrras recibias se procesan, y se procura que sea en el mismo dia de su recepcion !

Mañana estate atento a las nuievas versiones del ELISTARA que es donde corresponden las muestras:

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.08

y nos informas del resultado gracias

saludos

ms, 13-7-2006

Drobbit · Mensaje por **Drobbit** » 13 Jul 2006, 23:39

ok, gracias

ya he enviado las muestras

como sabré cuando está lista la actualización que solucione mi problema y desde que enlace la descargo?

gracias de nuevo y perdón por ser pesado

Mensaje por **msc hotline sat** » 14 Jul 2006, 06:21

En el foro se avisa de cada version nueva de nuestras utilidades

En su caso será en el ELISTARA

Y si ha indicado su referencia en el mail, en caso de alguna incidencia se lo indicariamos como respuesta de este Tema

saludos

ms, 14-7-2006

Mensaje por **msc hotline sat** » 14 Jul 2006, 12:28

Se han recibido 2 muestras de ficheros viricos pero vemos en el BMP la ventana del mensaje de marras, que puede corresponder a alguna DLL lanzada como modulo del EXPLORER.

Para saber la DLL en cuestion y poder controlarla, posteanos el log del HJT:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

y si ves que en algun item O21 carga una DLL, ya puedes enviarnos muestra del mismo para examinarlo, y sino ya trataremos de encontrar donde está y te lo pediremos, gracias

saludos

ms, 14-7-2006

Mensaje por **msc hotline sat** » 14 Jul 2006, 14:18

Sin haber recibido nada mas tuyo ni haber visto que postearas el log del HJT hasta el momento, hemos compilado la versión de hoy del ELISTARA sin poder implementar lo que te habíamos pedido.

Y esperamos nos informes tanto de lo que te hemos pedido como del resultado de probar la nueba version, gracias

saludos

ms, 14-7-2006

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 18:00

perdon por la tardanza. Llevo mucho tiempo sin poder acceder a internet. En el modem me salia una luz roja en la casilla ALERTA y no me dejaba acceder.

he pasado el programa y sale esto:

Logfile of HijackThis v1.99.1
Scan saved at 18:00:06, on 14/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\ipwins\ipwins.exe
C:\Archivos de programa\Archivos comunes\{60429508-0AFA-3082-0621-050610050022}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe
C:\Archivos de programa\Creative\Shared Files\CamTray.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\TClock\TClock.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\WILL-O~1\CONFIG~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\asycfiltv.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\system32\tload.ocx
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnnkhh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Archivos de programa\ToolBar888\MyToolBar.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Archivos de programa\TrustIn Contextual\trustincontext.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Archivos de programa\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IpWins] C:\Archivos de programa\ipwins\ipwins.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Archivos de programa\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Archivos de programa\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TClock.exe] C:\Archivos de programa\TClock\tclock_install.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe"
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} (WeeklyExecuter Class) - http://soft.trustincash.com/install/tload.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B13519-80D1-46D9-A954-299074785F6D}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: nnnnkhh - C:\WINDOWS\SYSTEM32\nnnnkhh.dll
O20 - Winlogon Notify: wingsa32 - C:\WINDOWS\SYSTEM32\wingsa32.dll
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe

no entendí lo del DLL, lo siento. Gracias de nuevo por la ayuda

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 18:03

en el hijack me sale esto que a lo mejor es lo que buscais:

021 - SSODL:cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

Mensaje por **msc hotline sat** » 14 Jul 2006, 18:42

Muy posible: Envianos muestra de C:\WINDOWS\system32\mzoeut.dll

Luego, antes de borrar la clave, intenta mover este fichero a otra carpeta y reinicia. Si al no encontrarlo ya desaparece el problema, podeemos borrar la clave

De todas formas necesitamos la muestra para controlarlo por cadenas, pues es muy posible que cambie de nombre en cada infeccion.

Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion si procede en la proxima version del ELISTARA

Informenos del resultado, gracias

saludos

ms, 14-7-2006

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 18:56

A que te refieres con borrar la clave?

ya os he enviado el archivo dll

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 19:02

ah, supongo que te refieres a la opcion delete del hijack

lo siento es que no entiendo mucho de estos temas

Mensaje por **msc hotline sat** » 14 Jul 2006, 19:09

Pues ahora mueve la DLL a otra carpeta, por ejemplo a la que tienes de C:\WinLogon

Si tras reiniciar se ha solucionado el problema y no da ningun error, entonces lanza el HJT. marca la casilla de la iuzquierda de la clave que te indico borrar y le das a FIX CHECKED, lo cial la eliminara del registro

Si en cambio diera algun error y no solucionara el problema, volver a copiar la DLL en su sitio original y esperar el proximo ELISTARA

Informanos del resultado gracias

saludos

ms, 14-7-2006

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 20:15

soys fantásticos, me ha desaparecido ese aviso. He hecho lo del hijack y ahora aparece esto en el log: (a ver si ya esta todo bien...)

Logfile of HijackThis v1.99.1
Scan saved at 20:14:20, on 14/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\ipwins\ipwins.exe
C:\Archivos de programa\Archivos comunes\{60429508-0AFA-3082-0621-050610050022}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe
C:\Archivos de programa\Creative\Shared Files\CamTray.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe
C:\Archivos de programa\TClock\TClock.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\WILL-O~1\CONFIG~1\Temp\Rar$EX07.609\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\asycfiltv.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\system32\tload.ocx
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnnkhh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Archivos de programa\TrustIn Contextual\trustincontext.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IpWins] C:\Archivos de programa\ipwins\ipwins.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\will-O-wisp\Configuración local\Archivos temporales de Internet\Content.IE5\GT6J8XAZ\EliStarA[1].exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Archivos de programa\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Archivos de programa\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TClock.exe] C:\Archivos de programa\TClock\tclock_install.exe
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} (WeeklyExecuter Class) - http://soft.trustincash.com/install/tload.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B13519-80D1-46D9-A954-299074785F6D}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: nnnnkhh - C:\WINDOWS\SYSTEM32\nnnnkhh.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe

mientras escribía este post se me han abierto varias ventanitas con avisos de productos antispam, antivirus y antiaware, me han intentado vender un coche y que ingrese en una pagina web pornográfica.

estas ventanas no aparecían antes...

Mensaje por **msc hotline sat** » 14 Jul 2006, 21:11

Pues siento decirtelo pero no! Vuelves a tener troyanos

Posiblemente mientras no estabas limpio, han ido descargando colegas...

Pero para esto estamos, no te preocupes que hasta ahora no se nos ha resistido ninguno, y estamos al pie del cañon desde el primero, y ya son mas de 200.000 !

Vamos a por ellos !

Envianos muestra de:

C:\Archivos de programa\ipwins\ipwins.exe
C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe
C:\WINDOWS\se_spoof.dll
C:\WINDOWS\system32\asycfiltv.dll
C:\WINDOWS\system32\tload.ocx
C:\WINDOWS\system32\nnnnkhh.dll
C:\Archivos de programa\TrustIn Contextual\trustincontext.dll
C:\Archivos de programa\Trust Cleaner\Trust Cleaner.exe"
C:\Archivos de programa\TClock\tclock_install.exe
C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe"
C:\WINDOWS\System32\service.exe

y todos estos ficheros debes, ademas de enviarnoslos, moverlos a una carpeta de cuarentena, por ejemplo C:\MUESTRAS , para que cuando reinicies no los encuentren las claves y asi mpo nolñveran a incordiar hasta que hagamos la niueva version del ELISTARA que los controle (a los que realmente sean troyanos) y eliminara las claves correspondientes, y los ficheros malwares, y los que queden los volveremos a poner a su sitio.,. pero mientras ya no incordiaran.

Vemos que todo esto es obra y gracia de downloaders, por esto es importante actuar, pues sino te llenarían de basura, como ya has visto

Ademas es importante que elimines estas claves:

O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\system32\tload.ocx
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnnkhh.dll
O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} (WeeklyExecuter Class) - soft.trustincash.com/install/tload.cab
O20 - Winlogon Notify: nnnnkhh - C:\WINDOWS\SYSTEM32\nnnnkhh.dll
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe

Tomatelo con calma, pero es la manera de evitar que sobreviva !

Y esto es todo, por ahora !

saludos

ms, 14-7-2006

Nota: esta vez pecaremos por exceso, para no quedarnos cortos como antes, luego ya devolveremos a su sitio a los que no sean culpables.

Drobbit · Mensaje por **Drobbit** » 14 Jul 2006, 21:59

Gracias por los ánimos. Soys de mucha ayuda.

Ya he enviado las muestras y he movido esos archivos a la carpeta MUESTRAS

Problemas:

- el archivo C:\WINDOWS\system32\tload.ocx no me lo ha dejado enviar el hotmail porque dice que puede ser un virus
- el archivo C:\WINDOWS\system32\nnnnkhh.dll no me lo ha dejado mover a la carpeta MUESTRAS porque dice estar siendo utilizado. He cerrado todas las ventanas y aplicaciones pero aun asi no quería moverse el condenado.
- los archivos .exe os los he mandado en archivos .rar porque el hotmail no deja enviar .exe

Además he agregado una imagen de mi administrador de tareas (procesos) ya que un amigo me ha dicho que a lo mejor os es útil para solucionar el problema.

Tras eliminar las claves he hecho un scan y sale esto:

Logfile of HijackThis v1.99.1
Scan saved at 21:52:42, on 14/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\ipwins\ipwins.exe
C:\Archivos de programa\Archivos comunes\{60429508-0AFA-3082-0621-050610050022}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe
C:\Archivos de programa\TClock\TClock.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\WILL-O~1\CONFIG~1\Temp\Rar$EX14.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll (file missing)
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\asycfiltv.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnnkhh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Archivos de programa\TrustIn Contextual\trustincontext.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IpWins] C:\Archivos de programa\ipwins\ipwins.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\will-O-wisp\Configuración local\Archivos temporales de Internet\Content.IE5\GT6J8XAZ\EliStarA[1].exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Archivos de programa\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Archivos de programa\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TClock.exe] C:\Archivos de programa\TClock\tclock_install.exe
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Archivos de programa\TrustIn Popups\TrustInPopups.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B13519-80D1-46D9-A954-299074785F6D}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: nnnnkhh - C:\WINDOWS\SYSTEM32\nnnnkhh.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing)

no entiendo yo de esto pero no debería haber desaparecido el O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnnkhh.dll ???

Mensaje por **msc hotline sat** » 15 Jul 2006, 10:07

Este archino C:\WINDOWS\system32\tload.ocx envienoslo en un RAR o ZIP con password VIRUS para que asi quede encriptado y el HOTMAIL no se entere de lo que lleva dentro y no impida su envio, pero señal de que es bicho !

El otro problema es mas peludo, pues con la DLL lanzada desde el WINLOGON ni ha podido moverla ni se ha eliminado la clave de carga:

O20 - Winlogon Notify: nnnnkhh - C:\WINDOWS\SYSTEM32\nnnnkhh.dll

pero si nos la ha enviado, que no creo, podremos implementar su control y eliminacion en el ELINOTIF.DLL que es un fichero complemetario al ELISTARA y que este instala cuando le hace falta. Para ello solo hay qie copiarla en la misma carpeta que tiene el ELISTARA y ya al ejecutarlo, instala la DLL y en el siguiente reinicio es lanzada eliminando las DLL viricas del WINLOGON

Por si acaso fuera una DLL ya controlada por el ELINOTIF, copia dicho fichero en la misma carpeta del ELISTARA, luego lo ejecutas y al salir reinicias, y nos posteas el contenido del C:\infosat.txt para que veamos lo que ha hecho, o si ha podido mover dicha DLL a C:\WINLOGON , desde donde poder copiar para enviarnosla,

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Sino habrá de arrancar en consola de recuperacion que es la unica manera de que no see carguen las DLL del WINLOGON y asi poder mover esta DLL para luego poder enviarnosla, ademas de que al moverla a una carpeta de cuarentena, ya quedará fuera de circulacion.

Seguro que es un bicho con funciones de downloader, como otros que conoce el ELINOTIF y este pronto lo tendremos bajo control...

saliudos

ms, 15-7-2006

quicozo · Mensaje por **quicozo** » 16 Jul 2006, 06:24

:D :D :D Use este programa para solucionar el virus poper y funciono de maravilla, ~~[b]~~localizado y eliminado[/b]... problema solucionado!!! :D :D :D

Mensaje por **msc hotline sat** » 16 Jul 2006, 09:32

Gracias quicozo, pero recuerda que cada dia hacemos una version nueva, pues no paran de aparecer nuevas variantes de malwares, por lo que si quieres probarla de nuevo, descargar siempre la ultima version disponible en esta web para evaluacion en este foro

Y mantenemos el Tema abierto para comentar, analizar las muestras que hemos pedido y solucionar el problema de Drobbit

saludos

ms, 16-7-2006

Mensaje por **msc hotline sat** » 17 Jul 2006, 09:47

Recibidas las muestras soicitadas, de entrada un simple escaneo con VirusScan de McAfee ya detecta algunos adwares y troyanos:

[quote]Scan engine v4.4.00 for Win32.

Virus data file v4807 created Jul 14 2006

Scanning for 201078 viruses, trojans and variants.

07/17/2006 09:44:41

Options:

A: /ALL /PROGRAM /UNZIP /REPORT A:\INFORME,.TXT

Scanning A: []

Scanning A:\*.*

A:\trustincontext.dll ... Found potentially unwanted program Adware-TrustIn.

A:\nnnnkhh.dll ... Found the Vundo trojan !!!

A:\service.rar\SERVICE.EXE ... Found potentially unwanted program Keylog-Z0mbie.

A:\TrustInPopups.rar\TRUSTINPOPUPS.EXE ... Found potentially unwanted program Adware-TrustIn.
[/quote]

Estos 3 ficheros ya los controlaremos con la proxima version del ELISTARA de hoy.

Pasamos a analizar el resto...

Estos otros 3 tambien son nalwares:

mzoeut.dll - infected by not-virus:Hoax.Win32.Renos.dw

se_spoof.dll - infected by Trojan-Downloader.Win32.Small.ddp

ipwins.exe :AntiVir 6.35.0.21 17.07.2006 ADSPY/MaxFiles

y en asycfiltv.dll solo DrWEB detecta:

DrWeb 4.33 16.07.2006 Trojan.Click.1290

por lo que de entrada se considera posible falsa alarma... (1de25), pero por si acaso lo examinaremos tambien

.

Los indicados puede moverlos a una carpetra de cuarentena y reiniciar para que ya no esten en uso, pero si quiere, con la nueva version 12.10 del ELSLISTARA de hoy ya los controlaresmos y eliminaremos ficheros y claves correspondientes

saludos

ms, 17-7-2006

Resumen: en total hay 6 malwares distintos, pues algunos ficheros estaban repetidos:

Adware-TrustIn.

Vundo trojan

Keylog-Z0mbie

Win32.Renos.dw

Trojan-Downloader.Win32.Small.ddp

ADSPY/MaxFiles

ms.

Drobbit · Mensaje por **Drobbit** » 17 Jul 2006, 11:11

buf... veamos:

no me deja enviar el archivo C:\WINDOWS\system32\tload.ocx ni con contraseña ni sin ella. Es posible que algo haya hecho mal: creo archivo .rar y luego añado contraseña. Me sigue detectando el virus el dichoso del hotmail.

tras descargarme el archivo DLL y volver a pasar el ELISTARA he logrado poder mover el arhcivo C:\WINDOWS\SYSTEM32\nnnnkhh.dll y guardarlo en la carpeta C:\WINLOGON

os he enviado un mail con las muestras pero por alguna razón el hotmail no me deja adjuntar el archivo C:\WINLOGON\WINGSA32.DLL diciéndome que puede contener un virus

estaré atento a la actualización del ELISTARA y tras pasarlo os volveré a enviar más muestras. Gracias

Mensaje por **msc hotline sat** » 17 Jul 2006, 11:31

Habras visto que el actual ELISTARA con su ELINOTIF ya controla dos de estos que nos has enviado, ya que coinciden las cadenas, pero lo que nos dices del otro fichero, si lo empaquetas con password no lo podran detectar, pero no es hacer el RAR y luego pober password, sino hacer el RAR con password (o el ZIP, que es el que usamos nosotros)

Hay una causa tonta por la que podria no dejarlo enviar, y es que haya mas de un punto em el nombre y extension del fichero. Ello es considerado como posible truco para disfrazar una doble extension y lo controlan. Vigila que no sea el caso.

y aunque no sirva para enviar ejecutables, como que aunque no funcione lo que quieremos es ver las cadenas, renombra dicho fichero a extension .DAT y anexalo a tu proximo post (examinar -> Agregar un adjunto) asi veremos si es virus y cual, pues las cadenas viricas persistiran y sera una posible manera de ver si eso es posible hacerlo, o mejor me lo anexas en un privado no sea que alguien meta mano al infectado y se queme...

Te contestaré aquí mismo sobre el exito o fracaso de la prueba

saludos

ms, 17-7-2006

Mensaje por **msc hotline sat** » 17 Jul 2006, 13:01

Te habia indicado que lo enviaras en un privado ...

Bueno, ha llegado y ha servido para la prueba, pues el McAfee residente ha saltado al querer copiarlo, detectado el malware Downloader AP. como veras en la imagen que anexo.

Por otro lado hemos recibido mas muestras, pero ya las detecta el ELISTARA, pruebalo antes de enviarnos, pues estas ya no procede enviarlas ni examinarlas, si estan controladas.

Pasamos a examinar este nuevo TLOAD.EXE igualmente

saludos

ms, 17-7-2006

Nota: Borro tu anterior post para que no se queme nadie !

Mensaje por **msc hotline sat** » 17 Jul 2006, 14:52

El TLOAD. el VUNDO y unos cuantos mas ya son controlador por la nueva version 12.10 del ELISTARA:

---v12.10-(17 de Julio del 2006) (Muestras de (2)Puper "ISSEARCH.EXE y IXT*.DLL", TrustIn(DPF) "TLOAD.CAB", Keylog-Z0mbie "SERVICE.EXE", (2)Vundo(notify), DownLoader.ConHook(notify) y SpywareQuake(dldr))

Pruebala y nos comentas el resultado, gracias

saludos

ms, 17-7-2006

Drobbit · Mensaje por **Drobbit** » 17 Jul 2006, 19:02

ya esta disponible? solo tengo acceso a la 12.09

iré revisando a lo largo del dia y en cuanto aparezca la 12.10 la descargo y os digo que tal ha ido

Mensaje por **msc hotline sat** » 17 Jul 2006, 19:30

no, no, desde las tres de esta tarde esta la 12.10

Bajala y lo veras, lo que pasa es que el texto no sé porqué no ha cambiado. Voy a cambiarlo, pero ya puedes bajar la utilidad

ya me diras el resultado, gracias

saludos

ms, 17-7-2006

nota: gracias por avisar, sino no me entero !

Ya he cambiado el numero que quizas se me paso , pero el texto estaba lo de la 12.10:

---v12.10-(17 de Julio del 2006) (Muestras de (2)Puper "ISSEARCH.EXE y IXT*.DLL", TrustIn(DPF) "TLOAD.CAB", Keylog-Z0mbie "SERVICE.EXE", (2)Vundo(notify), DownLoader.ConHook(notify) y SpywareQuake(dldr))

ms,

Drobbit · Mensaje por **Drobbit** » 17 Jul 2006, 23:24

dita sea.... no me deja enviar el archivo C:\winlogon\WINGSA32.DLL porque dice que puede contener un virus

el REGPERF si me lo ha dejado enviar

otro asunto: al abrirse el ordenador tras reiniciar me pregunta si quiero ejecutar el elistara, si le digo que si esta ultima version se cuelga

Mensaje por **msc hotline sat** » 18 Jul 2006, 05:52

Posiblemente sea por encontrar problemas en el registro. Pruebalo de ejecutar con la opcion /saltareg

Otra cosa es que un residente incordiara. Pruebalo arrancando en modo seguro.

Y para enviar la DLL de muestra, desactiva el antivirus y envialo en un ZIP con password VIRUS

saludos

ms, 18-7-2006

Drobbit · Mensaje por **Drobbit** » 18 Jul 2006, 10:32

perdona... tenemos un problema

no se que es la opcion /saltareg ni como se pone

tampoco se abrir en modo seguro

y mucho menos quitar el antivirus del hotmail

:cry:

la buena noticia es que hace un dia que no me aparecen ventanitas ni mensajes de intrusos en el antivirus

Mensaje por **msc hotline sat** » 18 Jul 2006, 11:14

No debe usarse normalmente, pero para cuando existen problemas de corrupcion de registro, dosponemos de la opcion /saltareg que salta la exploracion del registro. Ello de spuede ejecutar desde DOS (del XP) entrando ELISTARA /SALTAREG o bien desde windows INICIO -> EJECUTAR -> ELISTARA /SALTAREG

Para arrancar en modo seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Para saltar los antivirus de Internet, se utiliza la encriptacion que el WINZIP o el WINRAR codifican los empaquetados cuando se les pide que la cpdifiquen con password, pues es la manera de que no puedan entenderlo, noi nosotros si no se nos indicara dicho password, por eso siempre indicamos utilizar VIRUS

Pero es igual, si ya no tienes problemas, dejalo. hoy prueba el ELISTARA 12.11 que tendrá el control de tus ultimas muestras y listos

saludos

ms, 18-7-2006

Mensaje por **msc hotline sat** » 18 Jul 2006, 14:48

Subida la version 12.11 del ELISTARA con la que se controlan todas las muestras enviadas en este Tema

Pruebala, y nos comentas el resultado, posteandonos el contenido del c:\infosat.txt para comprobar que todos los malwares han sido eliminados y podemos dar por solucionado el Tema

saludos

ms, 18-7-2006

aviso de virus que no desaparece (SOLUCIONADO)

aviso de virus que no desaparece (SOLUCIONADO)

elistartpage vs poper