VIRUS TRJ/RIZALOF.IJ (SOLUCIONADO)

XSPACO · Mensaje por **XSPACO** » 09 Sep 2006, 11:01

HOLA A TODOS ACABO DE ENCHUFAR EL ORDENADOR Y MI PANDA DICE QUE HA DETECTADO UN VIRUS Y LO HA RENOMBRADO LUEGO LE PASO UN ANALISIS EXAUSTIVO Y ME DETECTA CUATRO ARCHIVOS INFECTADOS ELIMINA 1 Y RENOMBRA SE LO VUELVO A PASAR Y RENOMBRA 3 MAS PERO NO ELIMINA NADA, COMO ELIMINO LOS RENOMBRADOS POR QUE SIGO LA DIRECCIOON Y NO LA ENCUENTRO ESCRIBO EL NOMBRE DEL ARCHIVO EN EL BUSCADOR Y SALE QUE SON ARCHIVOS DE WINDOWS Y NO DE DONDE ME PONIA EL PANDA QUE ESTABAN ¿ QUE HAGO POR QUE YA NO SE COMO ELIMINARLO ?

Mensaje por **msc hotline sat** » 09 Sep 2006, 11:31

Prueba el ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si no lo detecta ni elimina, ni pide muestra, envienos muestra del fichero infectado:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 9-9-2006

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 10:37

he leido vuestra respuesta pero es que el elisa no detecta nada el panda. Me ha salido un nuevo virus ademas del que ya tenia. Me he dado cuenta que solo se activan cuando me conecto a internet mientras pasas el antivirus y no detecta nada y si lo conecto a la red y paso el antivirus, borro los archivos renombrados de todos los usuarios borro la papelera etc sin dejar ningun rastro, en cuanto conecto a la red o me vuelven a aparecer las detecciones de virus, o simplemente me da pantallazo azul y se reinicia el ordenador

Mensaje por **msc hotline sat** » 10 Sep 2006, 10:41

Posteenos el contenido del C:\infosat.txt y si no tiene este fichero, posteenos el log del HJT

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 10-9-2006

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 10:46

Logfile of HijackThis v1.99.1

Scan saved at 10:47:33, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE

C:\WINDOWS\system32\pavsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\acer\epm\epm-dm.exe

C:\ARCHIV~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\AVENGINE.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.578\HijackThis.exe

C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX01.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138987913421

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155055957343

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 10:59

lo que mas me fastidia es que llevo un rato conectado desde que lo he acosado y no da señales de vida y se que en cuanto apague el ordenador y lo vuelva a enchufar van a estar ahi.

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 11:07

definitivamente lo he apagado y las bestias han vuelto. he vuelto a pasar el programa que me han recomendado y aqui les adjunto el resultado por si les sirve de utilidad.

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 11:07

Logfile of HijackThis v1.99.1

Scan saved at 11:07:19, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE

C:\WINDOWS\system32\pavsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\acer\epm\epm-dm.exe

C:\ARCHIV~1\LAUNCH~1\LManager.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\Babylon\Babylon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\acer\eRecovery\Monitor.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138987913421

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155055957343

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

novatillo · Mensaje por **novatillo** » 10 Sep 2006, 11:35

Prueba a lanzar elistara arrancando en modo seguro y luego debes de postear el contenido de C/:infosat.txt como te decia msc es un documento que crea elistara en el disco C.Lo copias y lo pegas aqui.Asi se podra ver que nos dice.

Saludos.

XSPACO · Mensaje por **XSPACO** » 10 Sep 2006, 13:26

ahi va infosat

Mensaje por **msc hotline sat** » 10 Sep 2006, 19:53

Los logs se han de postear copiando su contenido y pengandolos en los post, como has hecho con el del HJT, sino se pierde su estructura. Hazlo asi con el del infosat.txt, gracias

Sobre el del HJT se aprecian ficheros sospechosos, que es posible que ya controle el ELITRIIP y sino pedirá muestras:

C:\WINDOWS\system\smss.exe

C:\WINDOWS\system32\nvsvcd.exe

Baja el ELITRIIP actual y pruebalo, y tras ello nos posteas el contenido del C:\infosat.txt como te hemos indicado, gracias:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 10-9-2006

nota: y viendo que tienes algo de Panda instalado, revisa su instalacion/actualizacion, porque esto debería haberlo detectado si hubiera estado actualizado y residente...

XSPACO · Mensaje por **XSPACO** » 12 Sep 2006, 12:53

Tue Sep 12 12:42:14 2006

EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

Mensaje por **msc hotline sat** » 12 Sep 2006, 13:55

Efectivamente:

[quote]
Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.45

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.45

a "virus@satinfo.es". Gracias.
[/quote]

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 12-9-2006

Nota: de todas maneras, el virus ahora ya está "aparcado"

XSPACO · Mensaje por **XSPACO** » 14 Sep 2006, 17:13

Gracias por vuestra ayuda os he remitido el correo pero no se por que no ha llegado, lo malo es que con la emocion luego lo borre y no tengo el archivo

En cualquier caso muchisimas gracias ya me quedo mas tranquilo, ha sido dificil de encontrar el "cabroncete" jaja.

Muchisimas gracias.

Mensaje por **msc hotline sat** » 14 Sep 2006, 17:25

Pues siempre conviene guardar una copia de seguridad, fuera de circulacion, claro

Si la recupera o le vuelve a entrar posteelo en nuevo Tema y envienosla de nuevo

Dando el Tema por solucionado, procedemos a cerrarlo

saludos

ms, 14-9-2006

Nota: Como que cada día recibimos muestras de nuevos gusanos que emplean el nombre de fichero SMSS.EXE, vaya probando las nuevas versiones del ELITRIIP. ms.

glasgas · Mensaje por **glasgas** » 17 Sep 2006, 16:31

Buenas a todos.

A mi me pasa algo parecido que al creador de este post, con el Trj/Rizalof.JC.

Como he leido por aquí he pasado el ELITRIIP, y creo que ha eliminado dos archivos. También he mandado esos dos archivos de "muestras" a "virus@satinfo.es" (3 veces, lo siento, pero la primera lo mandé sin adjuntar los archivos :oops: , la segunda sin lo de la referencia de usuario :oops: , y creo que a la tercera ya está -los nervios-). ¿Con eso basta? ¿debo pegar aquí lo que me aparece en InfoSAT.Txt? ¿Debo hacer algo más? ¿Ya está solucionado el problema? Lo siento por el bombardeo de preguntas.

Un saludo

Mensaje por **msc hotline sat** » 17 Sep 2006, 16:38

Hazlo, podremos adelantar sugerencias

saludos

ms, 17-9-2006

glasgas · Mensaje por **glasgas** » 17 Sep 2006, 16:41

Ahí va:

Sun Sep 17 15:14:10 2006

EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

Sun Sep 17 15:18:08 2006

EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

glasgas · Mensaje por **glasgas** » 17 Sep 2006, 16:57

Se me olvidaba, tengo el panda titanium, actualizado (aunque no estoy muy contento, me detectaba 2 archivos infectados de virus al intalar el el Sonicstage para el mp3 de sony, muy raro, para mi por lo menos)

Un saludo

Mensaje por **msc hotline sat** » 17 Sep 2006, 17:28

Mañana mismo vamos a atacar estas dos muestras que son mas variantes de una prolifica familia de la que ya controlamos con el ELITRIIP muchas de ellas como

BackDoor.CMQ

De todas formas ahora ya estan aparcadas las muestras y al reiniciar ya no se pondran en uso

Con ka nueva version del ELITRIIP que hagamos tras haber recibido las muestras, se eliminaran los restos.

saludos

ms, 17-9-2006

Nota: Lo de Sony podría tratarse de alguna proteccion anticopias o alguna coincidencia der cadenas... si quiere, envienos muestras y las analizaremos

Mensaje por **msc hotline sat** » 18 Sep 2006, 16:36

Sus muestras entran en proceso.

Con el ELITRIIP que compilaremos hoy estará controlado.

Sobre las 20 horas estará disponible la v 2.49 en esta web, descarguelo, pruebelo y nos informa del resultado

saludos

ms, 18-9-2006

glasgas · Mensaje por **glasgas** » 18 Sep 2006, 17:54

Gracias por todo.

A ver como va.

Un saludo

Mensaje por **msc hotline sat** » 18 Sep 2006, 18:02

Son muchas las variantes del mismo que ya controlamos, y esta no va a ser menos ...

SI mirais en el ELITRIIP la cantidad de Backdoors CMQ , vereis que en muchas versiones se controlan diferentes variantes del mismo.:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

[quote]
---v2.18---(19 de Mayo del 2006) (Muestras de BackDoor.CMQ(dr) "SMSS.EXE" y Cambio de la ubicación de las muestras a "C:Muestras")

---v2.19---(22 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.20---(23 de Mayo del 2006) (Muestra de Sdbot.worm.gen "MSPF.EXE")

---v2.21---(24 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.22---(26 de Mayo del 2006) (Muestras de (2)BackDoor.CMQ(dr) "SMSS.EXE") ---v2.23---(29 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.24---(30 de Mayo del 2006) (Muestras de (2)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.25---( 1 de Junio del 2006) (Muestra de BackDoor.CMQ(dr) "SMSS.EXE")

---v2.26---( 2 de Junio del 2006) (Muestra de Proxy.Horst)

---v2.27---( 7 de Junio del 2006) (Muestras de (8)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.28---( 8 de Junio del 2006) (Muestras de Sdbot.worm.gen.N "JAVAWS.EXE" y BackDoor.CMQ(dr) "SMSS.EXE")

---v2.29---( 9 de Junio del 2006) (Muestra de BackDoor.CMQ(dr) "SMSS.EXE")

---v2.30---(12 de Junio del 2006) (Muestras de (4)BackDoor.CMQ(dr) "SMSS.EXE")

---v2.31---(13 de Junio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE y NETF.DLL") ---v2.32---(19 de Junio del 2006) (Muestra del Mytob "FDD.EXE" y para Mytob.TD,TE,TQ y TS de VSAntiVirus)

---v2.33---(20 de Junio del 2006) (Muestra de BackDoor.CMQ "NVSVCD.EXE") ---v2.34---(21 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")

---v2.34---(21 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")

---v2.35---(22 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")

---v2.36---(13 de Julio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE y NETF.DLL" y para Mytob.UD de VSAntiVirus)

---v2.37---(24 de Julio del 2006) (Muestra de Sdbot.worm.gen "TFTP****" y para el AgoBot.AKI de Trend) ---v2.38---(27 de Julio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE", Sdbot.worm.gen "SERVICES.EXE" y Mytob "TASKGMR.EXE")

---v2.39---(31 de Julio del 2006) (Muestras de BackDoor.CMQ "SMSS.EXE" y Sdbot.worm.gen "SERVICES.EXE")

---v2.40---( 4 de Agosto del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE")

---v2.41---(31 de Agosto del 2006) (Muestras de BackDoor.CMQ "SMSS.EXE" y Hupigon o Pigeon "SVCH0ST.EXE") ---v2.42---( 4 de Septiembre del 2006) (Muestras de (5)BackDoor.CMQ "SMSS.EXE", SdBot "JAVANET.EXE" y "**EXMODUL32.EXE y **EXHDD32.EXE")

---v2.43---( 6 de Septiembre del 2006) (Muestra de "**EXSSD32.EXE") ---v2.44---( 7 de Septiembre del 2006) (Muestra de (4)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE", Sdbot.worm.gen.L "CSRSS.EXE" y Comprueba la existencia de los parches MS06-001 y MSo6-040 en XP y 2K)

---v2.44---( 7 de Septiembre del 2006) (Muestra de (4)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE",

[/quote]

y en muchas anteriores tambien...

saludos

ms, 18-9-2006

Mensaje por **msc hotline sat** » 18 Sep 2006, 20:23

Subida nueva version ELITRIIP:

https://foros.zonavirus.com/nuevas-versiones-de-utilidades-elitriip-249-elistara-1236-vt13534.html?highlight=smss+muestra

Tras probarla, comentenos resultados, gracias

saludos

ms. 18-9-2006

glasgas · Mensaje por **glasgas** » 18 Sep 2006, 21:33

Buenas de nuevo.

En "muestras" no hay nada, aquí os dejo lo que tengo en Infosat.txt:

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

Sun Sep 17 15:18:08 2006

EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

Mon Sep 18 21:08:01 2006

EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)

Como dije no soy muy entendido en esto, pero creo que tras leerlo, ya lo ha eliminado ¿es así?

De ser así, ¿tengo que borrar lo de infosat y la carpeta de muestras?

Saludos y muchas gracias.

Mensaje por **msc hotline sat** » 18 Sep 2006, 21:42

Todo solucionado:

Mon Sep 18 21:08:01 2006

EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 18-9-2006

VIRUS TRJ/RIZALOF.IJ (SOLUCIONADO)

VIRUS TRJ/RIZALOF.IJ (SOLUCIONADO)

socorro trj/rizalof.ij y trj/looset

ahi esta lo que ha salido. no entiendo nada.

voy a probar a apagar y encender

la bestia regresa

ahi va todo de nuevo

ahi va el infosat

ahi va infosat de elitrip

Muchisimas gracias a todos.