PROBLEMA TAMBIEN CON EL Win32/Medbot.HF

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
alemontevideo
Mensajes: 2
Registrado: 11 Mar 2007, 07:46
Ubicación: montevideo
Contactar:
Contactar alemontevideo

PROBLEMA TAMBIEN CON EL Win32/Medbot.HF

Mensaje por alemontevideo » 11 Mar 2007, 07:59

[b]Hola, primero q nada saludar a todos ya q soy nuevo en el foro :D . Buscando en el google lo vi y me gusto. Voy al grano.. Tengo el nod32 q me dice varias veces al dia q encontro el Win32/Medbot.HF en la ruta C:\users\all users\.....\setup.exe



El tema es q no puedo entrar siquiera a la carpeta users xq me dice acceso denegado.

Cada tanto cuando me aparece el mensajes (automaticamente lo borro ya cuando me aparece el cartel), le doy ok y listo, quedo borrado el archivo, pero siempre vuelve a aparecer en el mismo lugar. Incluso luego voy a escanear a mano esa carpeta y no encuentra nada, pero siempre vuelve a aparecer.



Que puedo hacer? ayuda plizzzz !!! :o



(PD. sabria alguien decirme tmb que es lo q hace exactamente ese troyano en mi maqina?).[/b]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 11 Mar 2007, 09:11

El Medbot es un alias del Backdoor CMQ, y el SETUP es el fichero a traves del que llega, por usar comparticion de carpetas en una RED, o por comparticiones administrativas de windows desde Internet.



Al ejecutarlo es cuando se instala el virus, normalmente creando un SMSS.EXE pero en la carpeta SYSTEM, no en SYSTEM32 como está el fichero de windws con dicho nombre.



Pero hay multiples variantes (tenemos mas de 200 muestras distintas) y las vamos controlando con el ELITRIIP, utilidad que elimina al bicho si es de las variantes conocidas, o pide envio de muestras de los ficheros que no conoce, si es el caso





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 11-03-2007
Arriba
alemontevideo
Mensajes: 2
Registrado: 11 Mar 2007, 07:46
Ubicación: montevideo
Contactar:
Contactar alemontevideo

pase el elitrip....

Mensaje por alemontevideo » 11 Mar 2007, 23:05

(disculpas por el privado, pero soy nuevo aqui y ni siquiera me di cuenta q era un privado...)



Estimado,

Pase el elitrip, me borro 17 archivos con este bichito.

De todos modos aparecieron varios mensajes de acceso denegado a varias carpetas, unos 10 mensajes aprox. (incluyendo el C:\users\all users) en el cual me decia el nod32 q encontraba el setup.exe

En modo a prueba de fallos tampoco puedo entrar a esa carpeta ya que ni siquiera aparece.

En system no encontre ningun archivo smss.exe.

Tambien me aparecieron varios cartelitos de q no estaban algunos parches y habilite actualizaciones automaticas.

En fin, esperemos se haber matado del todo al bichito...¿?



Paso el el archivito log:





Sun Mar 11 12:42:05 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Mar 11 12:46:15 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\mobile PhoneTools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\All Users.WINDOWS\Documentos\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Program Files\mobile PhoneTools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\ProgramData\Configuración local\Temp\install_vso_10027_en-us.tmp\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\RECYCLER\S-1-5-21-57989841-113007714-854245398-500\Dc5.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{539FCACE-19F4-453E-A984-8F3B9A0AE6A4}\RP19\A0005478.exe --> Eliminado, Bifrose (dropper)

C:\System Volume Information\_restore{539FCACE-19F4-453E-A984-8F3B9A0AE6A4}\RP7\A0001117.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP70\A0025469.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP71\A0025551.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP71\A0027643.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP72\A0028714.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP74\A0029909.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP74\A0030801.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP74\A0030802.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP74\A0030803.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{E2487117-21CB-4AE8-B2ED-194545ACB0CE}\RP74\A0030804.inf --> Eliminado, BackDoor.CMQ (inf)



Sun Mar 11 13:11:43 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Mar 11 13:13:44 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\yo\PROGRAMAS\MULTIMEDIA\REPRODUCTORES\WMP11+WGA - Cracked\LegitCheckControl.exe --> Eliminado, Bifrose (dropper)



Sun Mar 11 13:15:46 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sun Mar 11 13:36:02 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 12 Mar 2007, 08:19

Pues si encuentra el SETUP.EXE que indicaba al principio, envienos muestra, pero si NOD32 se lo ha eliminado, ya tranquilo.



Posiblemente le esté llegando o desde otra maquina en red , con carpetas compartidas con esta, o por comparticiones administrativas, desde internet



Recuerde la importancia de tener todos los parches al día:



No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.





Lance un windowsupdate !!!



saludos



ms, 12-03-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”