Trojan-PSW.win32.Magania.kb (CERRADO)

[Rurounhi]

Hace dias me entro este virus. Kaspersky lo detecta, pero no lo puede eliminar:

no encontrado: programa troyano Trojan-PSW.Win32.Magania.kb Archivo: C:\WINDOWS\system32\on1Exe.exe

El ordenador va mas lento, sobre todo a la hora de escribir. Por ej en el msn la escritura es muy lenta, se para y tal. Gracias

[novatillo]

Prueba con elistara y tras reiniciar postea el contenido de C:/infosat.txt



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp





Saludos

[Rurounhi]

Fri Dec 22 20:51:11 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Dec 22 21:36:07 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Samsung\PC Studio for SGH-Z500V\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader

C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW



Fri Dec 22 21:46:38 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Fri Dec 22 21:49:05 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Spyware Doctor\tools\SWPG.DAT.VIR --> Eliminado, DownLoader



Aun sigue detectandolo el karspersky. Gracias.

[novatillo]

Pues ya ves que elistara ha hecho su trabajo pero debes de lanzar un windowsupdate y actualizar los parches de seguridad



No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Y tras ello nos comentas si se ha resuelto el problema.





Saludos.

[msc hotline sat]

Y si tras lo eliminado dices que el Kaspersky aun detecta algo , envianos este fichero para analizar :



C:\WINDOWS\system32\on1Exe.exe



y mientras lo envias y demas, renombra este fichero a extension ViR y en la misma carpeta abre una subcarpeta con su nombre: on1Exe.exe y asi no podrá regenerarse, que es lo que parece que pasa. Luego ya lo eliminaremos del todo con la utilidad que hagamos al respecto





recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 23-12-2006

[Rurounhi]

El problema es q busco el archibo pero no esta dnd lo indica, en C:/windows/sistem32

Con lo de actualizar, no puedo, me da error.Gracias

[msc hotline sat]

Pues si ya no está, protegete para que no pueda volver a entrar, creando la carpeta que deciamos:



·"y en la misma carpeta abre una subcarpeta con su nombre: on1Exe.exe y asi no podrá regenerarse, que es lo que parece que pasa."





ya que si no puedes actualizar los parches, te sería un incordio este bicho...



saludos



ms, 23-12-2006

[Rurounhi]

Ya hize lo de la carpeta, y no funciona.

Y si restauro el sistema?

[msc hotline sat]

Perdona, aclara lo de que no funciona...



Si has creado la carpeta, el inytento de intrusion no puede crear el fichero con el mismo nombre en el mismo sitio...



Y si no jas posiudo vtrear l,a carpetra es opirquye habvua el fuchero que decuas nio encontrar, quizas oculto, quizas con atributos de sistema...



recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Esperamos nos lo aclares, gracias



ms,.

[Rurounhi]

Lo de no funciona, queria decir q ela ntivirus aun lo detecta y el msn y demas va mal.Gracias

[msc hotline sat]

Pero si creaste la carpeta, donde lo detecta, nio será que lo que te detecta es el intento de intrusion, pero antes de infectarte ???



o es que no pudiste crear la carpeta, señal de que existe el fichero ...



Si es el primer caso quizas te falten parches, lanza un windowsupdate y lo sabras.



Si es el segundo envianos la muestra y la analizaremos para implementar su control y eliminacion en nuestras utilidades



saludos



ms, 24-12-2006

[msc hotline sat]

La descripcion que hemos encontrado del mismo es:



http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-PSW.Win32.Magania.kb&threatid=100701



y como causa probable de infeccion indican:



"typically installed without user interaction through security exploits"



lo cual confirmaría la falta de parches, como tambien indicaba el ultimo log del infosat:



"No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto. "



Pero indiquenos si usa I.E. 7 o I.E. 6 pues ello solo es aplicacable al I.E.6, para el 7 lo vamos a controlar proximamente



saludos



ms, 24-12-2006



saludos

[Rurounhi]

Buenas, el problema es q no puedo descargarme parches. Lanzo un Update y me da error.Hay otra forma de bajarse esos parches sin q sea de windowsupdate?Gracias

[msc hotline sat]

Si el caso es que no tiene el sistema operativo registrado legalmente, diganoslo y hubieramos acabado antes !



Y conteste las otras preguntas si quiere que le ayudemos, sino procederemos a cerrar el Tema.



saludos



ms, 24-12-2006

[Rurounhi]

Perdonadme,pero es q me he dado cuenta cuando intente instalar los parches, sino lo habria puesto antes. Uso IExplorer 6.0



En lo de la carpeta, la cree en C:/windows/system32 con el nombre de on1exe.exe.... Y el antivirus me lo sigue detectando pero sin poder eliminar:

no encontrado: programa troyano Trojan-PSW.Win32.Magania.kb Archivo: C:\WINDOWS\system32\on1Exe.exe

Gracias

[msc hotline sat]

Pues con I.E. 6 te faltan los parches indicados, y es lógico que te intente ingresar algun malware !



Y sin poder lanzar el windowsupdate, lo que puedes hacer provisionalmente es, si tienes al menos el SP2, instalar puntualmente los tres que mas te hacen falta (aunque todos son necesarios) el MS06-001, MS06-070 y MS06-072, a ver si con ello ya no intenta acceder este marrano y deja de molestar, aunque tanto por el Kaspersky como por la carpeta creada, no podria crearse dicho fichero.



Y como que es Navidad, de acuerdo con ADMIN voy a publicar un Tema para dar un poco de seguridad a los que no la tienen y postearé el link a continuacion:



https://foros.zonavirus.com/aqui-vt15286.html



saludos



ms, 24-12-2006



NOTA: Pero eso solo es para emergencia. Normaliza tu situacion y hazlo como se debe !!!

[Rurounhi]

me baje los parches, pero no me deja instalarlos xq yo no tengo el SP2, ya q como es pirata, no me deja instalarlo.

Le he cambiado la clave a mi XP, y estoy instalando el SP2, q esa es otra, lleva horas instalando y no avanza... Asiq una vez q se instale, si llega a instalarse, le pondre los parches.



[b]PD[/b]:Si mi xp es pirata, xq a veces si me deja actualizar desde windows update? Gracias y feliz Navidad

[msc hotline sat]

Ni en Navidad se pueden permitir ilegalidades tan flagrantes !!! Una cosa es intentar mirar a otro lado y otra es que te pongan el delito delante, mires a donde mires.



Está Vd cometiendo un delito contra las Leyes del Copyright. No podemos seguir dandole soporte hasta que legalice su situacion.



Se cierra este Tema en consecuencia



ms.