GUSANO setup TROYANO irdvxc (SEGUN AVAST 4.7 ) (SOLUCIONADO)

berretin · Mensaje por **berretin** » 18 Ene 2007, 07:46

SOY NUEVO Y ES MI PRIMER MENSAJE...

ESTE ES MI PROBLEMA

TENGO TANTO EN LA PARTICION C:

COMO EN LA D:

SETUP.EXE

Y IRDVXC.EXE

LOS BORRO...

INTENTO TAMBIEN PASANDO EL ANTIVIRUS A MODO A PRUEBA DE FALLOS Y SIGUEN APARECIENDO..

DA LA CASUALIDAD QUE CUANDO IRDVXC ESTA ABIERTO LOS RECURSOS DE INTERNET SE ENLENTECEN HASTA CUANDO LO CIERRO EN EL ADMINISTRADOR DE TAREA...

TAMBIEN HE NOTADO

QUE POR AHI SE ABRE UNO URDVXC NO SE SI ES EL OTRO QUE CAMBIO DE NOMBRE, O NO SE ALGO ASI...

QUIERO SABER QUE HACER CON ESTO...

YA ESTOY MANDANDO TAMBIEN LAS MUESTRAS PARA QUE VEAN

TENGO EL AVAST 4.7 PROFESIONAL

A VECES ME LOS DETECTA Y A VECES NO...

YA LA VERDAD PROBE DE TODO PERO NO LOS PUEDO BORRAR

ESPERO RTA

Mensaje por **msc hotline sat** » 18 Ene 2007, 07:58

Pues cuando recibamos las muestras las analizaremos e informaremos

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 18-01-2007

Mensaje por **msc hotline sat** » 18 Ene 2007, 15:50

El SETUP que hemos recibido está a cero bytes, no podemos analizarlo. Repita el envio de dicho fichero si Vd lo tiene con otro tamaño

El irdvxc.exe, McAfee lo detecta como W32/RAHACK y pasaremos a controlarlo con el ELITRIIP de hoy, 3.07 que subiremos a esta web esta tarde (>20h)

saludos

ms, 18-01-2007

Mensaje por **msc hotline sat** » 19 Ene 2007, 13:14

Al resultar ser que ya tenemos una utilidad ELIRAHAC.EXE a tal fin, en lugar de implementar la eliminacionde esta variante en la utilidad que pensabamos inicialmente, la añadiremos al ELIRAHAC, que estará disponibñe a partir de esta tarde.

De todas formas como que el McAfee ya detecta y elimina los ficheros EXE infectados, solo complementamos el antivirus para proceder a limpiar los HTML que modifica, pero basicamente el ejecutable debe ser eliminado con el antivirus correspondiente, como el de McAfee que usamos nosotros.

Por si no utilizara dicho antivirus, elimine los ficheros:

IRDVXC.EXE

ahora bien, el SETUP.EXE no lo hemos podido analizar y tampoco este que menciona URDVXC por lo que no sabemos ni lo que son ni si se tienen que eliminar. Si puede envienoslos y los analizaremos e informaremos

saludos

ms, 19-01-2007

Mensaje por **msc hotline sat** » 19 Ene 2007, 18:35

Subida la version 1.2 del ELIRAHAC que desinfecta los HTML infectados con el virus RAHAC

Ello es complemento del antivirus de McAfee, que no limpia HTML sino que las borra...

A continuacion, lanzar dicho antivirus para eliminar ficheros y demas restos del mismo

Tengase presente que esta utilidad no es autonoma, sino que es unb complemento del antivirus de McAfee, y primero debe lanzarse esta utilidad y tras ello el antivirus, arrancando para ello en modo seguro.

saludos

ms, 19-01-2007

berretin · Mensaje por **berretin** » 20 Ene 2007, 11:20

BUENO..

PASE EL ELIRAHACK Y ENCONTRO CERCA DE 1000 ARCHIVOS INFECTADOS O ALGO ASI...

bueno acabo de mandar la muestra del urdvxc.exe

que lo encuentro en la carpeta system 32 de windows y lo borro y vuelvo

a aparecer

se carga y lo voy viendo por el administrador de tareas y cada ves va

consumiendo mas recursos

la verdad no se qu es

se los dejo a ustedes que saben

y tambien la muestra del setup.exe que se carga a ver si llega

mando lo que sale cuando pase hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 6:07:25, on 20/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\urdvxc.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\LACOMP~1\CONFIG~1\Temp\Rar$EX07.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?5db4043041d1493c9c624b66e6fd5fa7

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?5db4043041d1493c9c624b66e6fd5fa7

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{36674EB7-EC3A-4C75-9D5F-DC3005399869}: NameServer = 200.42.97.111,200.42.0.111

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\system32\urdvxc.exe" /service (file missing)

O23 - Service: WinRoute Pro 4.2 (WinRoute) - Unknown owner - C:\Archivos de programa\WinRoute Pro\winroute.exe

espero rta...

hasta luego..

Mensaje por **msc hotline sat** » 20 Ene 2007, 11:38

Pues analizaremos el fichero para controlarlo, pero de momento renombralo a extension .VIR y elimina esta clave:

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\system32\urdvxc.exe" /service (file missing)

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tras reiniciar, lanza el antivirus de McAfee ONLINE, que aunque no eliminará lo que detectare, nos dirá si persiste algun fichero infectado, y si es asi dinoslo y envianoslos, pues del RAHAC solo miramos los HTML, de los demas se cuida McAfee

http://es.mcafee.com/root/mfs/default.asp

saludos

ms, 20-01-2007

Mensaje por **msc hotline sat** » 23 Ene 2007, 13:47

Recibida muestra del SETUP.EXE es detectada por McAfee como Downloader AB y pasamos a controlarlo con el ELISTARA de hoy.

El otro fichero URDVXD.EXE es otra muestra polimorfica del RAHAC que deben eliminarse con el antivirus, pues al ser polimorfico va cambiando en cada fichero, pero McAfee los controla sin problemas.

saludos

ms, 23-01-2007

berretin · Mensaje por **berretin** » 23 Ene 2007, 23:53

BUENO MUCHAS GRACIAS...

EN REALIDAD YA LO ELIMINE, CUANDO ME PASASTE LA UTILIDAD DEL MCAFEE POR INTERNET

ME DIJO ADONDE ESTABAN Y LOS BUSQUE A PRUEBA DE FALLOS Y LOS FUI ELIMINANDO DE A UNO Y LA COMPU ANDA PERFECTA AHORA...

LO QUE SI, ES QUE ANTES DE PASAR EL ANTIVIRUS, EL AVAST ME EMPEZO A ENCONTRAR ARCHIVITOS EJECUTABLES EN D...

BUSQUE CON LA UTILIDAD DE BUSQUEDA DE WINDOWS, LOS EJECUTABLES A VER SI HABIA ALGO RARO Y ME ECONTRE CON LA SORPRESITA DE QUE TENIA CERCA DE 1000 EJECUTABLES ESPARCIDOS POR LA MAQUIA CON NOMBRES JJSJSD.EXE POR EJEMPLO...

Y LOS FUI ELIMINANDO MANUALMENTE EN MODO A PRUEBA DE FALLOS

ESTABAN HASTA EN LAS CARPETAS OCULTAS DE WINDOWS

POR LAS DUDAS LOS ELIMINE TAMBIEN EN RECYCLED

TAMBIEN EL ELIRAHAC ENCONTRO MUCHOS ARCHIVOS INFECTADOS

ASI QUE EL TEMA SE SOLUCIONO Y MUCHAS GRACIAS, VOY A SEGUIR PASANDO DE VEZ EN CUANDO EL MC AFEE POR INTERNET, Y EL ELISTARA...

Mensaje por **msc hotline sat** » 24 Ene 2007, 13:35

Recuerde actualizar siempre tamto el antivirus como las utilidades antes de utilizarlas

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 24-01-2007