Dailer

CuXi · Mensaje por **CuXi** » 26 Jul 2006, 15:21

Bueno, soy nuevo y siempre que he tenido un virus he sabido desacerme de él. Pero este ya em saca de mis casillas.

Primero em pieza con este mensaje:

[code]Il software di connessione-navigazione. QUESTO SOFTWARE E' ESENTE DA VIRUS AL 100%. Attenzione! procedendo accetti le condizioni di utilizzo del software e dichiari di aver compiuto 18 anni. Il costo del collegamento e' di zero euro (euro 0.00) al minuto piu' dodici euro e cinquanta centesimi (euro 15.00) IVA INCLUSA di scatto alla risposta, la durata della connessione e' di ventisei minuti (26 min) consecutivi. Se accetti clicca su: Accetto. BUON DIVERTIMENTO[/code]

(Dato adjunto: Dibujo 2)

Y luego em pasa a este otro mensaje:

(Dato adjunto: Dibujo)

Encima el muy asqueroso me sale cuando paso hasta vuestro programa.

A ver si em podeis decir que hago o algo, porque yo ya estoy completamente descolocado...

Mensaje por **msc hotline sat** » 26 Jul 2006, 16:17

Prueba el ELISTARA y, tras reiniciar. nos comentas el resultado posteandonos el contenido de C:\infosat.txt , gracias

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 26-7-2006

CuXi · Mensaje por **CuXi** » 26 Jul 2006, 16:55

Responderia encantado, pero no puedo. Se cancela el rastreo por culpa de un archivo que no se que esta chungo y no lo puedo borrar. :s Qué hago?

Mensaje por **msc hotline sat** » 26 Jul 2006, 17:03

Arranca en modo seguro y se supone que no te incordiará si es que lo hace por estar residente.

Y lanzas el ELISTARA en dicho modo

saludos

ms.

Nota: en cualquier caso, dinos su nombre...

CuXi · Mensaje por **CuXi** » 26 Jul 2006, 17:58

El dailer parece desaparecido, pero el problema al ejecutar el EliStarA sigue, a mitad de escaneo da error y se cierra... De todos modos te paso el contenido de infosat.txt

Gracias, perece que se ha ido... :P

Wed Jul 26 14:50:59 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WINLIW32] -> C:\WINDOWS\SYSTEM32\WINLIW32.DLL

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00003.DLL.Muestra EliStartPage v12.16

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WEB FOLDERS\IBM00003.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\WINLIW32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 14:53:36 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 14:58:24 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 14:59:56 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 15:01:47 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 15:03:26 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 15:05:00 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 15:06:22 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 16:20:28 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 16:22:55 2006

EliStartPage v12.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 16:53:26 2006

EliStartPage v12.17 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 16:55:13 2006

EliStartPage v12.17 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Wed Jul 26 17:52:05 2006

EliStartPage v12.17 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 26 17:54:00 2006

EliStartPage v12.17 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VideoLAN\VLC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\SFTPMSI.EXE --> AutoExtraible

C:\Documents and Settings\CuXi\Mis documentos\Programas\VLC-0.8.2-WIN32.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 26 Jul 2006, 18:10

Está en cuarentena. Debes enviarnos la muestra para que lo controlemos por cadenas en proxima version:

"Por favor, envienos una muestra del fichero

C:\Muestras\IBM00003.DLL.Muestra EliStartPage v12.16 "

Y por cierto, te faltan por lo menos todos los parches de microsoft de este año... Lanza un windowsupdate !!!

saludos

ms, 26-7-2006

CuXi · Mensaje por **CuXi** » 26 Jul 2006, 20:25

Aqui lo tienes:

____________

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

INTERCEPTADO POR ZONAVIRUS

NO SE PERMITE COMPARTIR FICHEROS VIRICOS !!!

ESTO SERIA UNA FORMA DE OFRECER VIRUS

_____________

Gracias por lo de actulizar... Lo desbloqueé un día y se me olvido... jeje.

Mensaje por **msc hotline sat** » 26 Jul 2006, 21:04

Debes enviarlo anexado a un mail a la direccion que se te indica y lo recibiran los tecnicos de la web que lo entregaran a I+D, como se hace con las cientos de muestras que se reciben para ser examinadas, pues ellos trabajan en SATINFO para los asociados a sus servicios tenicos y el examen de muestras del foro es un complemento que se brinda a zonavirus por convenio con su director general, "ADMIN", pero dentro de las Normas establecidas, que deben seguirse para evaluar las utilidades y enviar las muestras que se piden.

No procede el subirlas a otra web poara que se descargue de alli ... no las iban a recibir.

Puedes enviarlas a "virus@satinfo.es , como indican las utilidades a todos los usuarios, a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF CuXi" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos

ms, 26-7-2006

CuXi · Mensaje por **CuXi** » 26 Jul 2006, 22:31

No me deja adjuntarlo "Dice que es un virus!" I´m sorry

Mensaje por **msc hotline sat** » 27 Jul 2006, 06:34

Pues desactiva tu antivirus para enviarnoslo...

ms.

y si quieres, ademas, haz lo que hacemos nosotros para enviar muestras viricas a McAfee, se empaquetan en un ZIP o RAR con password VIRUS y asi se encriptan y no las pueden interceptar los antivirus de los servidores de internet. ms.

Mensaje por **msc hotline sat** » 28 Jul 2006, 09:58

Excepcionalmente, vistos los problemas de envio, lo he descargado yo y enviado por mail en tu nombre, y asi será controlado en el ELISTARA 12.19 de hoy

De entrada salta el McAfee al descargarlo, por lo que no sñe como os infectasteis...

Subido al VirusTotal, ofrece el siguiente resultado:

[quote="VirusTotal"]Este es el resultado completo de analizar el archivo "IBM00003.DLL.Muestra_EliStartPage" que VirusTotal ha recibido el día 28.07.2006 a las 09:34:27 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.35.1.0 28.07.2006 TR/PSW.Sinowal.D.32

Authentium 4.93.8 28.07.2006 W32/PWStealer.AEG

Avast 4.7.844.0 26.07.2006 Win32:Trojano-P

AVG 386 27.07.2006 PSW.Generic2.CDO

BitDefender 7.2 28.07.2006 Trojan.PWS.Sinowal.AE

CAT-QuickHeal 8.00 26.07.2006 no ha encontrado virus

ClamAV devel-20060426 27.07.2006 Trojan.Spy.Sinowal-33

DrWeb 4.33 27.07.2006 Trojan.PWS.Snap

eTrust-InoculateIT 23.72.80 28.07.2006 no ha encontrado virus

eTrust-Vet 12.6.2314 28.07.2006 Win32/Anserin!generic

Ewido 4.0 27.07.2006 Trojan.Sinowal.ae

Fortinet 2.77.0.0 27.07.2006 no ha encontrado virus

F-Prot 3.16f 27.07.2006 security risk named W32/PWStealer.AEG

F-Prot4 4.2.1.29 27.07.2006 W32/PWStealer.AEG

Ikarus 0.2.65.0 27.07.2006 Trojan-PSW.Win32.Sinowal.ae

Kaspersky 4.0.2.24 28.07.2006 Trojan-PSW.Win32.Sinowal.ae

McAfee 4816 27.07.2006 PWS-JA

Microsoft 1.1508 27.07.2006 no ha encontrado virus

NOD32v2 1.1682 27.07.2006 no ha encontrado virus

Norman 5.90.23 27.07.2006 no ha encontrado virus

Panda 9.0.0.4 27.07.2006 Trj/Sinowal.BS

Sophos 4.07.0 28.07.2006 no ha encontrado virus

Symantec 8.0 28.07.2006 Trojan.Anserin

TheHacker 5.9.8.182 27.07.2006 no ha encontrado virus

UNA 1.83 27.07.2006 Trojan.PSW.Win32.Sinowal

VBA32 3.11.0 27.07.2006 suspected of Malware.Agent.44

VirusBuster 4.3.7:9 27.07.2006 Trojan.Sinowal.Gen.4

Información adicional

Tamaño archivo: 61440 bytes

MD5: 1095744bd53ba636258c3d64e77bb2ea

SHA1: 3dff5574517eaf38964f0b8d750fa131c47de6fa

[/quote]

Como se ve es un robapasswords (PWS) por lo que se debe tener presente las posibles consecuencias de los datos que hubieran en el ordenador afectado, aconsejandose cambiar consecuentemente passwords y claves bancarias para evitar "sorpresas" desagradables.

Por cierto que al intentar buscar informacion en vsantivirus, veo que no lo hay porque NOD32 , que es el antivirus que ellos distribuyen, no detecta ni heuristicamente dicho PWS... Si es el que usan es la causa de que les haya entrado, que no lo detecta todavía con la actual version.

Tampoco Sophos, Norman, Microsoft, the Hacker, entre otros, lo controlan, y es quie cada día hay 200 nuevas variantes de malwares , por lo que nunca ninguno puede controlarlos todos !

Esta tarde te bajas la nueva version y tras probarla nos cuentas el resultado, gracias

saludos

ms, 28-7-2006

Mensaje por **msc hotline sat** » 28 Jul 2006, 15:01

sUBIDA NUEVA VERSION DEL elistara 12.19:

ELISTARA:

---v12.19-(28 de Julio del 2006) (Muestras de Puper "IXT*.DLL", Delf(Notify) "CLBCATEX.DLL", StartPage-GU "SHDOCPE.DLL", BestOffers "TBONWND.EXE", PWS-JA "IBM00***.DLL" y DownLoader.AWX(notify) "FONFAT.DLL")

saludos

ms, 28-7-2006