(attrib.exe) (SOLUCIONADO)

Nuker · Mensaje por **Nuker** » 07 Dic 2006, 00:05

Tengo un problema con este "programa" presiento que es malware y no me deja eliminarlo ya probé con killbox y no me lo quita. Trate con varios antivirus y no me lo detecta. Como lo remuevo?

P.D. Viene en una carpeta con nombre Adobe (pero no es el original)

Gracias.

Mensaje por **msc hotline sat** » 07 Dic 2006, 00:18

Envienos este fichero y lo analizaremos e infornaremos

saludos

ms, 6-12-2006

Nuker · Mensaje por **Nuker** » 07 Dic 2006, 01:51

Tengo problemas enviando la muestra, me informa hotmail que es un virus . Ya intente tambien encriptarlo.

Alguna otra manera de enviarlo ?

Mensaje por **msc hotline sat** » 07 Dic 2006, 09:39

Empaquetalo con password VIRUS y no te lo interceptara.

Asi lo hacemos desde hace 16 años diariamente y sin problemas con todas las muestras viricas

TRY AGAIN ! :lol:

saludos

ms, 7-12-2006

Nuker · Mensaje por **Nuker** » 07 Dic 2006, 22:54

gracias por el dato, ya lo envie.

Mensaje por **msc hotline sat** » 09 Dic 2006, 15:01

Pues lo analizaremos el lunes cuando volvamos al trabajo en SATINFO

Seguro que sera bicho !!!

saludos
ms,. 9-12-2006

Mensaje por **msc hotline sat** » 11 Dic 2006, 14:46

Recibida la muestra resulta ser una variante del downloader purityscan que pasamos a controlar con la version de hoy del ELISTARA

saludos

ms, 11-12-2006

Mensaje por **msc hotline sat** » 11 Dic 2006, 21:31

Ya disponible version 12.87 del ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

tras probarla, cuentanos el resultado, gracias

saludos

ms,. 11-12-2006

Nuker · Mensaje por **Nuker** » 11 Dic 2006, 22:00

Hola MSC, fíjate que no me lo quiere eliminar le instale el ELINOTIF.DLL y aun así no me lo elimina. Me aparece que no le da acceso pero no lo repara. Te dejo el log. Gracias :

Mon Dec 11 13:53:09 2006
EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mon Dec 11 13:53:47 2006
EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

Mon Dec 11 13:58:15 2006
EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mon Dec 11 13:59:15 2006
EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

Nuker · Mensaje por **Nuker** » 11 Dic 2006, 22:17

Para ahorrar tiempo pase HIjackThis aqui esta el log y un posible intruso marcado en negritas :

Logfile of HijackThis v1.99.1
Scan saved at 02:19:03 p.m., on 11/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
[b]C:\WINDOWS\system32\acs.exe[/b]
C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\SiteClient\clisvc.exe
C:\SiteServer\svrsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Archivos de programa\ViRobot NT\vrmonsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ViRobot NT\vrmonnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\SiteClient\SiteCli.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\chkdisk.exe
C:\Archivos de programa\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.6962\GoogleToolbarNotifier.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\SMC\SMCWPCI-G 54Mbps Wireless PCI adapter\Monitor.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\usuario\Configuración local\Temp\wzed26\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = http://www.google.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiteClient] C:\SiteClient\SiteCli.exe
O4 - HKLM\..\Run: [InitClient] C:\SiteClient\InitCli.exe
O4 - HKLM\..\Run: [Vrmon] C:\Archivos de programa\ViRobot NT\vrmonnt.exe Main
O4 - HKLM\..\Run: [VrBootScan] C:\Archivos de programa\ViRobot NT\VRBScan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [VrSchedule] C:\Archivos de programa\ViRobot NT\Vrres.exe
O4 - HKLM\..\Run: [UninstalTime] chkdisk.exe
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.6962\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SMCWPCI-G 54Mbps Wireless PCI adapter.lnk = C:\Archivos de programa\SMC\SMCWPCI-G 54Mbps Wireless PCI adapter\Monitor.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163113485340
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D9701E87-A34D-11D4-BE29-000102598CE4} (VrUpdate Control) - http://download.globalhauri.com/Eng/online_up/vrupdate.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SiteClient Service for VMS (SiteClientService) - Unknown owner - C:\SiteClient\clisvc.exe
O23 - Service: SiteServer Service for VMS (SiteServerService) - Unknown owner - C:\SiteServer\svrsvc.exe
O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Archivos de programa\ViRobot NT\vrmonsvc.exe

Nuker · Mensaje por **Nuker** » 11 Dic 2006, 22:18

Nota: Siteclient (svc.exe) entro otros , son de mi antivirus (Virobot, Virus Managment Server (VMS).

Mensaje por **msc hotline sat** » 12 Dic 2006, 20:49

Es que no se instala el ELINOTIF !!!

o NO ESTA EN LA MISMA CARPETA QUE EL elistara 12.87 (vigila que no tengas dos elistara), o no es el ELINOTIF 12.11 de ayer...

revisalo please

saludos

ms, 12-12-2006

Nuker · Mensaje por **Nuker** » 13 Dic 2006, 04:07

:shock: Al parecer me lo elimino, sin que me diera un registro.

como estuvo eso ? Gracias.

Mensaje por **msc hotline sat** » 13 Dic 2006, 05:32

Las claves que restauramos si que lo hacemos durante el proceso sin mas, pero los ficheros que eliminamos han de quedar reflejados, ademas de indicar que se instala ka DLL, si lo necesita y se desinstala cuando termina

En este caso es como si ya ni lo hubiera encontrado de entrada, pues ni instaló la DLL ni indicó borrar el fichero, y si este no está ... ???

Revisaremos el codigo al respecto, que oara esto está de evaluacion, y la mejoraremos en la poroxima version si cabe.

Pero para este Tema le ha servido y solucionado el problema, y si ya no tiene ningun otro, dart,mos el Tema por solucionado,

Indiquenos su criterio al respecto en su proximo post, gracias

saludos

ms, 13-11-2006

Nuker · Mensaje por **Nuker** » 13 Dic 2006, 05:58

Problema solucionado, algo raro pero se arreglo, los pop-ups han desaparecido. Gracias SATINFO.

Mensaje por **msc hotline sat** » 13 Dic 2006, 06:34

Es que es un bicho un tanto raro !

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 12-12-2006