S.O.S TROYANOSS... (SOLUCIONADO)

melanie · Mensaje por **melanie** » 25 Feb 2007, 07:07

HOLA, LES COMENTO MI PROBLEMA...CAMBIE EL ANTIVIRUS, PORQUE EL PANDA NO SE ME ACTIVABA, ME BAJE EL NOD32..ME DETECTO EL TROYANO WIN 32/MEDBOT.BH
LO BUSQUE EN INTERNET E INTENTE QUITARLO COMO DECIA EN ALGUNAS PAG QUE ENCONTRE..TAMBIEN ME INSTALE EL TROJAN REMOVER, ESTE NO DETECTO NADA, PERO EL PC ME EMPEZO A FUNCIONAR MAL, SE ME BLOQUEABA Y TENIA QUE APAGARLA RESETENADOLA, DESISTALE EL TROJANREMOVER, PENSANDO QUE ERA ESTO EL PROBLEMA PORQUE SE ME BLOQUEABA LUEGO, PERO SIGUIO IGUAL, CADA VEZ PEOR, CON CADA REINICIO, EL TROYANO SE AUTOINSTALABA, PRACTICAMENTE EMPEORA CUANDO LA CONECTOA INTERNET, ME DURA UNOS 15 MIN. COMO MUCHO ANTES DE EMPEZAR A BLOQUEARSE HASTA ME CORTA LA CONEXION, Y TENGO Q RESETEAR...LUEGO CREO QUE MUTO..PORQUE ME APARECIO COMO QUE HABIA DETECTADO A:
WIN32/MEDBOT.HF

ENCONTRE ESTA PAG, Y ME DIJERON QUE PASARA EL ELISTARA EN MODO SEGURO, SOLO QUE TENGO UN PROBLEMA, NO PUEDO ENTRAR A PRUEBA DE FALLOS, PARA ESTO ME RECOMENDARON EL ELIBAGLA...O SI NO QUE LOPASARA ENMODO NORMAL..
EL ELIBAGLA EL PC NO ME LO DEJABA BAJAR(ASI QUE LO BAJE EN ORO PC Y LO PASE A cd) pASE EL ELISTARA, EL ELITRIIP, EL ELIBAGLA Y TAMBIEN ME BAJE EL HIJACKTHIS...LOS PASE EN MODO NORMAL....FUERON SALIENDO CARTELITOS QUE ELIMINABA A
TROYANO ALEXA, NEWDOTNET
GUSANO, CRAM
PERO NO ESTOY SEGURA QUE SE PUDIERA ELIMINAR EL WIN32 MEDBOT...
INTENTE LUEGO ENTRAR EN MODO SEGURO..PARECIA QUE IBA A ENTRAR, PERO AL FINAL NO, COMO QUE REINICIA..
SIGO TENIENDO EL MISMOPROBLEMA QUE S EME BLOQUEA TODO Y SI ME CONECTO EMPEORA Y NO DURA NADA....
QUISIERA SABER SI ALGUIEN PUEDE DECIRME ALGO Y AYUDARME

DESDE YA LES ESTARIA MUY AGRADECIDA
LE SPEGO EL INFORME
MUCHAS GRACIAS
Sat Feb 24 22:56:50 2007
EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
C:\WINDOWS\NDNUNINSTALL4_50.EXE --> Eliminado NewDotNet Uninst
Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> blank
Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}" -> blank
Eliminada Class, "{04079851-5845-4DEA-848C-3ECD647AA554}" -> blank
Eliminada Class, "{0494D0D2-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{0494D0D3-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{0494D0D5-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{0494D0D7-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{0494D0DB-F8E0-41AD-92A3-14154ECE70AC}" -> blank
Eliminada Class, "{07B18EA3-A523-4961-B6BB-170DE4475CCA}" -> blank
Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> blank
Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> blank
Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1
Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> blank
Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> blank
Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> blank
Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> blank
Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1
Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> blank
Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> blank
Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> blank
Eliminada Carpeta "%WinDir%\WT"
Eliminada Carpeta "%Archivos de Programa%\Instant Access"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Sat Feb 24 22:58:39 2007
EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\Escritorio\Downloads\EMULE0.46A_INSTALLER.EXE --> AutoExtraible
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\MPGBASIC.DLL --> Eliminado, NavHelper (BHO)
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

Sat Feb 24 23:14:48 2007
EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Sat Feb 24 23:14:58 2007
EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\Escritorio\Downloads\EMULE0.46A_INSTALLER.EXE --> AutoExtraible
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

Sat Feb 24 23:35:34 2007
EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Sun Feb 25 00:06:38 2007
EliBagle v10.18 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Feb 25 00:06:48 2007
EliBagle v10.18 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Sun Feb 25 00:26:49 2007
EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\README.TXT --> Eliminado
Entrada Eliminada [HKLM\...\Run] "icq lite"=""C:\Archivos de programa\ICQLite\ICQLite.exe" -minimize"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Sun Feb 25 00:27:39 2007
EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\Escritorio\Downloads\Registry Mechanic\registry_mechanic_5_0_0_132__serial.exe --> Eliminado, ServU-Daemon v4 (Dropper)
C:\Documents and Settings\All Users\Documentos\autorun.inf --> Eliminado, DownLoader.Horst (inf)

Mensaje por **msc hotline sat** » 25 Feb 2007, 10:25

Como que hay muchas variantes del Medbot, si su antivirus sigue detectandolo, desactivelo, y envienos el fichero donde lo detecta, para analizarlo e implementar su control y eliminacion en el proximo ELISTARA
recordar: viewtopic.php?f=2&t=45334

saludos

ms, 25-02-2007

melanie · Mensaje por **melanie** » 25 Feb 2007, 17:42

Hola, que es exactamente lo que les tengo que enviar?

porque digamos que quedo en cuarentena, el nombre y los datos...pero donde decia que estaba..C/documentandsetting/alluser......no veo rastros

melanie · Mensaje por **melanie** » 25 Feb 2007, 17:49

quizas borrandolo de cuarentena, se vuelva a crear, tendria que desactivar el nod32, a ver si asi vuelvo a ver la carpeta setup.exe?

melanie · Mensaje por **melanie** » 26 Feb 2007, 01:36

:cry:

melanie · Mensaje por **melanie** » 26 Feb 2007, 03:49

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

21/02/2007 21:09:09 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana

ESTO ES LO QUE DICE CUANDO EL ANTIVIRUS LO ELIMINA...

melanie · Mensaje por **melanie** » 26 Feb 2007, 04:05

TAMBIEN INTENTE PASAR EL ANTIVIRUS ONLINE....PERO COMO CUANDO ME CONECTO SE ME BLOQUEA Y NO ME DEJA HACER MUCHO..
ESTA VEZ ME APARECIO UN CARTELITO MUY RARO, QUE DECIA QUE CERRARA TODO PORQUE SE IBA A APAGAR EL PC, QUE EL ALGO DEL SYTEM32 NT AUTHORITY\SYSTEM HABIA DADO LA ORDEN O ALGO ASI...Y HABIA UNA CUENTA REGRESIVA...NO HICE NADA Y LO DEJE A VER QUE PASABA...SE BLOQUEO, PERO EN LA PAG PARECIA QUE SEGUIA SCANEANDO...SIGUIO UNA HORA MAS..AL FINAL SE BLOQUEO Y NO SEGUIA , TUVE QUE RESETEAR..
LO UNICO QUE ME DETECTO AL PRINCIPIO FUERON 6 ARCHIVOS
PAV_148.DAT HTML/PHISHBANK.AFF C/WIND/CONFIGLOCAL
PAV_2434.DAT .AFP /DATOSPROG/
PAV_2711.DAT PANDA SOFW../
PAV_6474.DAT /ANTISTPAM
PAV_6475.DAT

EL PANDA ERA EL ANTIVIRUS QUE DESISTALE PARAINSTALAR EL NOD32, ...

YA NO SE QUE MAS INTENTAR...

PUEDE SER QUE AL PASAR EL ELISTARA EN MODO NORMAL? NO ME LIMPIARA EL PC COMO SI LO PASARA EN MODO SEGURO?

LO QUE VOY A INTENTAR ES TRATAR DE ARRANCARLO:
Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".

Pulse en la lengüeta "BOOT.INI".

Y QUE SEA LO QUE DIOS QUIERA...

melanie · Mensaje por **melanie** » 26 Feb 2007, 04:09

ASI PUEDO VOLVER A PASAR EL ELISTARA A VER SI DESCUBRE ALGO MAS...
HELPPPPPPPPPPPPPPP

Mensaje por **msc hotline sat** » 26 Feb 2007, 06:25

melanie, es que por la noche en España tambien dormimos ...

Te pediamos simplemente que nos enviaras el fichero que el antivirus te detectaba infectado, para analizarlo y controlarlo con nuestras utilidades, pero tras todo lo que has hecho, poco debe quedar del fichero...

Si persiste el problema, arranca en modo seguro CON FUNCIONES DE RED y lanza este AV ONLINE:

Antivirus ONLINE aconsejado

y nos comenta el resultado, gracias

saludos

ms, 26-02-2007

nota: y si aun tiene el fichero en la carpeta de cuarentena, envienoslo para analizar...

melanie · Mensaje por **melanie** » 27 Feb 2007, 00:09

comentarios...

del modo seguro ( Desde Inicio, Ejecutar, escriba MSCONFIG y...)

seguro seguro, que no arranca mas

MrKogoyo · Mensaje por **MrKogoyo** » 27 Feb 2007, 00:14

Pues aqui esta la indicación:
http://www.zonavirus.com/articulos/como ... fallos.asp

Y para funciones de red, debes marcar la casilla "red" que se encuentra al loado de "SAFEBOOT"

Slds. !!
Mr.K.

melanie · Mensaje por **melanie** » 27 Feb 2007, 00:23

Pues eso mismo, que lo intente, y caput, finish, se murio el pc

Mensaje por **msc hotline sat** » 27 Feb 2007, 08:34

Bueno a ver si accedemos a la informacion de alguna manera:

Prueba de descargar esta utilidad desde otro ordenador y ejecutandola, crear un disquete con el que arrancar el ordenador averiado

http://www.ntfs.com/boot-disk.htm

y nos cuentas tus progresos, gracias

Si asi accedes, repararemos el windows, sino ...

saludos

ms. 27-02-2007

Cloudo · Mensaje por **Cloudo** » 01 Mar 2007, 01:39

Bueno ¿y como termino esto?, yo tambien tengo el mismo troyano y aun no sé como eliminarlo, probe ejecutando NOD32 en modo a prueba de fallos, lo borro pero vuelve a aaparecer el archivo setup.exe, y al scanear con el eTrust Antivirus Web Scanner me dice que tengo q esperar a que se actualize la cadena de identificacion...

Es la misma historia el archivo sale en C:\Documents and Settings\All Users\Documentos, el NOD32 me lo elimina o pone en cuarentena a cada rato, asi que ahora espero a que aparezca otra vez para analizarlo.

Otra cosa, hay un autorun.inf que hacía q se ejecutara el setup.exe, asi que lo modifique y le borre el contenido. Más tarde pongo más info.

Mensaje por **msc hotline sat** » 01 Mar 2007, 07:06

Si tienes un SETUP.EXE y un AUTORUN.INF que lo llama , es posible que sea una variante del virus BACKDOOR CAI, que infecta ademas memorias USB

Prueba el ELITRIIP :

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 1-03-2007

NOTA: Y en este caso explora tus memorias USB !

Este Tema no era de lo mismo, sino de variantes del Backdoor CMQ, otro virus que usa el nombre de SETUP.EXE para propagarse por unidades compartidas, y que algunos antivirus llaman MEDBOT a variantes del mismo

Como sea que se han mezclado asuntos, se cierra este para no liarnos, y mejor abrir nuevo TEMA para cada caso si necesitais mas ayuda

saludos

ms, 1-03-2007