Archivo wextract.exe

Jorgem · Mensaje por **Jorgem** » 12 Ene 2007, 07:46

Buen dia a todos, les molesto de nuevo por un posible problema en otra Pc, corri el Elistara detecto Wextratc.exe -> Hack-Msn (Dropper) pero no lo elimina, pase 3 veces, envio infosat.txt y por e-mail el archivo descrito, Uds. diran si es malo o no, gracias por la atención.

Saludos

Thu Jan 11 23:22:15 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 23:23:53 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\MWSRVACC.EXE --> Eliminado, Dialer-InstantAccess

C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

C:\WINDOWS\system32\dllcache\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

Thu Jan 11 23:27:38 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\driver\6-5_XP-2K_DD_CCC_WDM_ENU_32464.EXE --> AutoExtraible

D:\driver\INSTALL_MSN_MESSENGER.EXE --> Eliminado, Hack-MSN (dropper)

D:\driver\DOTNETFX.EXE --> Eliminado, Hack-MSN (dropper)

Thu Jan 11 23:30:35 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OSFWTNVGP.EXE.Muestra EliStartPage v13.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OSFWTNVGP.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "OSFWTNVGP"="c:\windows\system32\osfwtnvgp.exe osfwtnvgp"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 23:30:58 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

Thu Jan 11 23:37:23 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\driver\6-5_XP-2K_DD_CCC_WDM_ENU_32464.EXE --> AutoExtraible

Fri Jan 12 00:00:09 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jan 12 00:00:23 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

C:\WINDOWS\system32\dllcache\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

Fri Jan 12 00:09:22 2007

EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\driver\6-5_XP-2K_DD_CCC_WDM_ENU_32464.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 12 Ene 2007, 11:20

Pues envienos la muestra que se le pide en el informe:

Por favor, envienos una muestra del fichero

C:\Muestras\OSFWTNVGP.EXE.Muestra EliStartPage v13.07

y ademas envienos este que se regenera, posiblemente por ser un falso positivo de un fichero de sistema ???:

C:\WINDOWS\system32\WEXTRACT.EXE

Cuando los recibamos, los analizaremos e informaremos

saludos

ms, 12-11-2007

Mensaje por **msc hotline sat** » 12 Ene 2007, 14:00

Sobre el WEXTRACT:

Subida nueva version 13.08 del ELISTARA:

https://foros.zonavirus.com/viewtopic.php?p=79732#79732

Probarla y comentar resultados, gracias

saludos

ms, 12-01-2007

Jorgem · Mensaje por **Jorgem** » 13 Ene 2007, 07:47

Buen dia a todos, gracias por la respuesta, baje el ultimo Elistara y no me detecto nada (como antes el WEXTRACT.EXE) como Uds. mencionan puede haber sido un falso positivo, de todas maneras envio por e-mail el archivo que se me olvido:

OSFWTNVGP.EXE.Muestra EliStartPage v13.07

Gracias una vez mas, pero seguro estare en cualquier momento molestandolos.

Saludos

Mensaje por **msc hotline sat** » 13 Ene 2007, 10:03

Gracias, pero al ser del sistema operativo ya pudimos analizarlo y mejorar la deteccion del ELISTARA para que siga detectando los infectados, pero cambiando la cadena de deteccion, de modo que excluya este fichero al tratarse de un falso positivo

Y agradeciendo el aviso e interés, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 13-01-2007

Mensaje por **msc hotline sat** » 15 Ene 2007, 13:58

Recibida muestra del C:\Muestras\OSFWTNVGP.EXE.Muestra EliStartPage v13.07

se ha encontrado estar infectado con un troyano NAVIOROMO que pasamos a cintrolar en la version que hacemos hoy del ELISTARA 13.10

Esta tarde la subiremoa a esta web (>20 h) pruebala e informanos del resultado, gracias

saludos

ms, 15-10-2007

Mensaje por **msc hotline sat** » 15 Ene 2007, 19:54

Ya subida nueva version 13.10

Pruebala y comentanos el resultado, gracias

saludos

ms, 15-01-2007

Mensaje por **msc hotline sat** » 11 Jul 2008, 10:05

Se ha recibido en SATINFO un mail con la cuenta de este forero, preguntando sobre el ELINOTIF.DLL

Se recuerda que a SATINFO solo se deben enviar muestras que en el foro se pidan para analizar, ni consultas, ni logs...

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

Por casualidad me lo han comentado antes de enviarlo a la papelera, y por eso informo en el ultimo Tema que has editado

Por cierto, el mail iba sin indicar nick en el asunto..., si bien lo que se envia deben reunir unas condiciones:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

en fin, ya que hemos visto lo que preguntas, sobre el ELINOTIF.DLL mira lo que se dice en:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 11-07-2008

Mensaje por **msc hotline sat** » 11 Jul 2008, 13:41

Y parece que es tu día de suerte...

Enviaste muestras a la dirección de virus@satinfo.es que es para los asociados a SATINFO, para zonavirus la direccion de envio es la de zonavirus@satinfo.es, pues si no llegan con numero de registro de asociado, las de que llegan a dicha cuenta, hacen cola ... mientras que las que llegan a zonavirus como se indica en:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

gozan de prioridad, detras de los asociados registrados.

Bueno, pues al haber buscado por lo del ELINOTIF tu cuenta de e-mail en el foro y ver que eras JORGEM, he reenviado tu mail con el nick de JORGEM a zonavirus@satinfo.es y entrado como tal tu solicutd de analisis de muestras, pasando a analizarla la vamos a controlar cpomo BUZUS.KHA a partir del ELISTARA de hoy 16.69

Esta tarde baja dicha version y tras probarla nos informas del resultado:

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos

ms, 11-07-2008

Archivo wextract.exe

Archivo wextract.exe

Re: Archivo wextract.exe

Re: Archivo wextract.exe