Ayudaaaaaaaaaaaa >> virus-troyano

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
amando
Mensajes: 33
Registrado: 06 Mar 2007, 12:38

Ayudaaaaaaaaaaaa >> virus-troyano

Mensaje por amando » 06 Mar 2007, 12:42

uso el antivirus avast online, y desde hace quince día detecta un troyano , este >>> win32:Horst-GV[trj] y no logro eliminarlo, cada vez que inicia el ordenador me lo detecta pero no puedo eliminarlo, prové con el ad-ware, y na de na, prové con otro antivirus el NOD 32 o algo así y me lo detecta pero no lo elimino, que puedo hacer.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 06 Mar 2007, 13:28

Con este nombre puede ser la variante descrita por VSantivirus en este articulo:



http://www.vsantivirus.com/medbot-ha.htm


[quote="VSantivirus"]


Medbot.HA. Compromete la seguridad del sistema





Nombre: Medbot.HA

Nombre NOD32: Win32/Medbot.HA

Tipo: Caballo de Troya

Alias: Medbot.HA, Proxy.Horst.wx, TR/Proxy.Horst.WX, Trojan.DownLoader.18866, Trojan.Downloader.Horst.J, Trojan/Proxy.Horst.wx, Trojan-Downloader.Horst.J, TrojanProxy.Horst.wx, TrojanProxy.Win32.Horst.F778, Trojan-Proxy.Win32.Horst.wx, W32/Dloader.HF!tr, W32/Horst.gen20, Win32.Downloader, Win32/Boxed!generic, Win32/Medbot.HA, Win32:Horst-GV

Fecha: 18/feb/07

Plataforma: Windows 32-bit

Tamaño: 23,552 bytes (UPX)



Caballo de Troya que permite a un atacante remoto acceder al sistema infectado para realizar acciones que comprometen la seguridad del sistema, actuando como un servidor proxy.



Un servidor proxy es un equipo o programa que actúa como intermediario entre Internet y un grupo de usuarios. Lo que hace un "TrojanProxy" es recibir peticiones de usuarios (en este caso del atacante remoto) y redirigirlas a Internet desde el equipo infectado, en lugar de hacerlo desde su propio equipo. Esto le permite (por ejemplo), utilizar el equipo de su víctima para lanzar ataques o enviar spam sin ser identificado.



También puede enviar información del sistema a un atacante remoto.



Descarga y ejecuta otros archivos desde determinados sitios de Internet, incluyendo una actualización de si mismo.



Cuando se ejecuta, puede crear los siguientes archivos (todos son copias de si mismo):

[TEMP]\tmp1.tmp

c:\windows\SYSTEM\smss.exe

c:\windows\system32\nvsvcd.exe



NOTA: [TEMP] puede ser "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.



NOTA: La carpeta "c:\windows" en c:\windows\SYSTEM\, puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).



NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000).



Crea el siguiente servicio:



Nombre de servicio: Windows Log

Nombre para mostrar: Windows Log

Ruta de acceso al ejecutable: [camino y nombre]

Tipo: Automático



Para ello, crea la siguiente entrada en el registro de Windows:



HKLM\SYSTEM\CurrentControlSet\Services\Windows Log



También crea la siguiente entrada para autoejecutarse en cada reinicio de Windows:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

.nvsvc = "c:\windows\System\smss.exe /w"


[/quote]

Pruebe el ELITRIIP y tras reiniciar nos postea el contenido de c:\infosat.txt





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





saludos



ms, 6-03-2007
Arriba
amando
Mensajes: 33
Registrado: 06 Mar 2007, 12:38

Ayudaaaaaaaaaaaa >> virus-troyano

Mensaje por amando » 06 Mar 2007, 14:05

Creo que es esto lo que me pides. Por cierto al reinicira el ordenador, es la primera vez en quince días que el antivirus no me salta.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 06 Mar 2007, 14:10

pues si has pasado el ELITRIIP posiblemente hemos eliminado los ficheros malwares o por lo menos los hemos movbido a cuarentena, dejandolos fuiera de circulacion, pero eso hay que verlo, y para ello necesitamos que nos postees el contenido de C:\infosat.txt que parece tenias la intencion, pero no lo has hecho,...



saludos



ms, 6-03-2007
Última edición por msc hotline sat el 06 Mar 2007, 14:55, editado 1 vez en total.
Arriba
amando
Mensajes: 33
Registrado: 06 Mar 2007, 12:38

Ayudaaaaaaaaaaaa >> virus-troyano

Mensaje por amando » 06 Mar 2007, 14:34

será de esta vez?
Adjuntos
InfoSat.txt
(829 Bytes) Descargado 20 veces
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 06 Mar 2007, 14:46

debes pegarnos el log del elitriip porque de otra forma pierde estructura, de todos modos mandanos esto que te pide



Por favor, envienos una muestra del fichero C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.28 a "virus@satinfo.es". Gracias.



aqui te pone como



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y peganos el log claro esta saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 06 Mar 2007, 14:57

Efectivamente, como esperabamos, se trata de una muestra de Backdoor CMQ, que pasaremos a controlar con la proxima version de ELITRIIP 3.29 si nos envias el fichero indicado por lucl



De todas formas, de momento lo tenemos aparcado en la carpeta C:\Muestras, por lo que ya no está en uso.



saludos



ms, 6-03-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”