Trojan.Peacomm (SOLUCIONADO)

SAKU · Mensaje por **SAKU** » 22 Ene 2007, 19:15

Hola de nuevo, parece que me ha "entrado un trojan", la cuestion es que la subscripcion del Norton Antivirus me ha caducado y no puede eliminarlo. He pasado el Ad-Aware SE y ha encontrado 17 archivos infectados (tracking cookies has of 3). Parece que lo ha eliminado, pero el icono de la barra de tareas del Norton sigue parpadeando y cambiando de color :?

y no consigo bajar el ELISTARA...

Gracias de antemano.

Saludos

Mensaje por **msc hotline sat** » 22 Ene 2007, 19:17

Por problemas en el servidor de descargas, hoy usar este link alytermativop para el ELISTARA:

MIRRORMS.EXE (SOLO PARA EMERGENCIA)

http://www.zonavirus.com/datos/descargas/245/mirrormsexe.asp

saludos

ms, 22-01-2007

SAKU · Mensaje por **SAKU** » 22 Ene 2007, 19:45

Bueno he entrado en el modo a prueba de fallos y vuelto a pasar el ad-aware y el ELISTARA, no han encontrado nada.

Pongo el infosat.txt, que supongo que sera esto:

[quote]
Sat Jan 20 14:34:47 2007

EliTriIP v3.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

~~[b]~~Mon Jan 22 18:35:50 2007[/b]

EliStartPage v13.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

~~[b]~~Mon Jan 22 18:37:42 2007[/b]

EliStartPage v13.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

~~[b]~~ Mon Jan 22 18:37:51 2007[/b]

EliStartPage v13.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\AVIMOVIEPLAYER48.EXE --> AutoExtraible

C:\Archivos de programa\AVI Movie Player\UNINSTALL.EXE --> AutoExtraible[/quote]

Y el icono del Norton sigue parpadeando y cambiando de color :(

Saludos

Mensaje por **msc hotline sat** » 22 Ene 2007, 20:15

Te pedimos una muestra sospechosa para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.07

la has enviado ?

Es una variante del Backdoor CMQ...

envianosla segun indicamos en :

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-01-2007

nota: Ya está en cuarentena, pero conviene analizarla para controlarala en la siguiente version del ELITRIIP.

SAKU · Mensaje por **SAKU** » 22 Ene 2007, 20:37

Si es que estoy mas perdedido... haber si averiguo que es lo que kieres que envie, y te lo hago llegar, y sobre todo [i]¿como?[/i]

Primero he de averiguar que es una muestra, y donde lo consigo.

EDITO: No encuentro, ni se que es lo que kieres que te envie por mail. Si me dices, de donde saco esa muestra (ya que "eso" que te posteado antes parece que no es) y como te lo envio, lo hare enseguida.

Saludos y gracias de nuevo.

PD: Soy un negado :oops:

Mensaje por **lucl** » 22 Ene 2007, 21:00

Hola saku , a ver la muestra la tienes C, te doy los pasos

Mi pc-------disco local C--------muestras--------SMSS.EXE,

Como has de hacerlo te viene aqui, te pego el link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

suerte y si tienes mas dudas pregunta, no obstante si lo consigues ponlo como respuesta. saludos.

SAKU · Mensaje por **SAKU** » 22 Ene 2007, 21:08

Gracias por tu pronta respuesta lucl, he seguido los pasos que indicabas y esa carpeta, ~~[b]~~muestras[/b] esta vacia :cry:

Nuker · Mensaje por **Nuker** » 23 Ene 2007, 02:19

Para estar seguros vuelve a pasar le herramienta en modo seguro y nos dices si te la vuelve a pedir.

MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

SAKU · Mensaje por **SAKU** » 23 Ene 2007, 02:23

Hola, viendo que la carpeta de muestras estaba vacia, he optado por pasar el spybot, y ha encontrado unos elementos que aqui muestro:

[img]http://thumbq.com/store/32874-scan.jpg[/img]

¿que hago ahora? ¿he de eliminar todos los elementos, o hay alguno que no?

Nuker · Mensaje por **Nuker** » 23 Ene 2007, 02:51

Son cookies "inofensivas". Borra todo en modo seguro. Menos el de Microsoft.

Y espera la respuesta de MSC, para proceder.

SAKU · Mensaje por **SAKU** » 23 Ene 2007, 03:10

Gracias!

Mensaje por **msc hotline sat** » 23 Ene 2007, 06:00

Pues en el log creado por el ELITRIIP, detectó el malware en c:\windows\system y lo eliminó de dicha ruta para ponerlo fuera de circulacion y lo copió a la carpeta c:\muestras, como se ve:

[quote]
Sat Jan 20 14:34:47 2007

EliTriIP v3.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

[/quote]

pero como que ademas ya hemos eliminado la clave de carga, al ser variante del Backdoor CMQ, virus muy conocido, ya no está operativo en tu ordenador, si bien necesitabamos muestra para analizarla e implementar su control por cadenas y eliminacion en la siguiemte version del ELITRIIP, pero si se ha perdido ... ya la pediremos en el siguiente caso de la misma variante

y en consecuencia damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 23-01-2007