virus NGVCK.a (SOLUCIONADO)

[rankrb]

Hola.
Tengo el virus NGVCK.a. en el sistema(Windows 200). Sospecho que me ha cambiado ejecutables y es posible que alguna .dll del sistema (dir. /System32/) El antivirus parece que lo detecto pero no fue capaz de detenerlo ni mucho menos limpiarlo. Aparte de ir excesivamente lento (en el administrador de tareas se dispara el consumo de cpu por parte de services.exe) depues de realizar una conexión con modem se resetea el ordenador.

Este es un log de antivirus:

detectar EXTRA.DAT= Ninguno
3/25/2007 1:51:30 PM Migrado(s) (fallo al limpiar porque el archivo no se puede limpiar) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 1:51:43 PM Migrado(s) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:03:01 PM Migrado(s) (fallo al limpiar porque el archivo no se puede limpiar) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:06:07 PM Migrado(s) (fallo al limpiar porque el archivo no se puede limpiar) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:06:16 PM Migrado(s) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:37:50 PM Versión del motor = 4.4.00
3/25/2007 2:37:50 PM Versión DAT = 4868
3/25/2007 2:37:50 PM Número de definiciones de virus en EXTRA.DAT= Ninguno
3/25/2007 2:37:50 PM Nombres de los virus que puede detectar EXTRA.DAT= Ninguno
3/25/2007 2:43:15 PM Migrado(s) (fallo al limpiar porque el archivo no se puede limpiar) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:43:20 PM Migrado(s) maquina\usuarioexplorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:43:26 PM Migrado(s) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)
3/25/2007 2:43:35 PM Migrado(s) maquina\usuario explorer.exe C:\quarantine\update65969262.exe.Vir W32/NGVCK.a (Virus)

Lo curioso es que el fichero: C:\quarantine\update65969262.exe.Vir
no hay forma de borrarlo

Por favor, ¿puede alguien ayudarme con esto?

Muchas gracias de antemano.

Saludos.

[msc hotline sat]

Para eliminar virus eliminables (...) se debe desactivar la restauracion de sistema, arrancar en modo seguro y lanzar el antivirus y si el antivirus puede, lo eliminará

http://www.zonavirus.com/articulos/como ... fallos.asp

Prueba lo indicado y si necesitas mas ayuda, indícanos como te parece que te infectaste, para ver si es el mismo y obrar en consecuencia

saludos

ms, 26-03-2007

[rankrb]

Hola.

Depues de arrancar en "Modo Seguro", pasé el antivurus y me detectó dos ficheros (fichero antivir.gif). Me dejó borrar a mano ambos ficheros. El virus entró mientras navegaba por internet (vía modem). Saltó el antivus (el mismo mensaje que antivir.gif) y un mensaje de Windows diciendo que se habián cambiado ficheros del sistema y que insertase el CD de Windows para restarurarlos (cosa que no pude hacer por no disponer de el en ese momento).

Apagué el PC, y al arrancar empezaron los problemas. Si entro con otro usuario distinto al que estaba conectacto cuando entró el virus parece que al menos no se dispará el consumo de CPU, pero en un par de ocasiones, al mover un fichero de un directorio a otro se ha reseteado el PC. Y cuando hago una conexión a Interner (vía modem), inmediatamente después de realizarse la conexión, si toco cualquir aplicación con el mouse, el PC se resetea.

He visto los datos que teneís de este virus, y la verdad es que estoy muy preocupado. Aparentemente parece que se hayan dañado sectores del disco, pero no sé qué hacer.

Adjunto un par de imagenes (services.gif,services_1.gif) con las tareas que se están ejcutando al arrancar el PC (taskmanager) por si supiérais de alguno "sospechoso".



Muchas gracias por todo.

Saludos.

[lucl]

Creo que msc te pedira que les pongas el log de hijackthis para ver que tienes en el pc, asi que pon manos a la obra y ve haciendo a ver si podemos aunque sea ganarle tiempo, saludos


HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

[msc hotline sat]

Pues muy bien , lucl, y visto que ya no hago falta, ya me puedo ir... a las Bahamas !



Ya os enviaré una postal desde Nasao, por si necesitais algo :lol: :lol: :lol:



Tal y como muy bien apunta lucl, analizaremos el log del HJT...



Y quien sepa rezar, que rece !



saludos



ms, 28-03-2007



Nota es un virus muy atipico, tanto como maligno segun sus acciones, aunque parece que no llegó a actuar gracias al antivirus, pero hay que ver lo que llegó a hacer antes de ser detectado ???

[msc hotline sat]

Buscando informacion al respecto, aunque es generica de la familia NGVCK

W32/NGVCK Type Virus SubType Win32 Discovery Date 05/01/2001 Length 538-9,632 bytes Minimum DAT 4208 (06/19/2002) Updated DAT 4691 (02/07/2006) Minimum Engine 4.1.60 Description Added 08/14/2003 Description Modified 08/14/2003 6:42 AM (PT) Type
Type of threat.
SubType
Additional type information.
Discovery Date
Date that AVERT discovered this threat.
Length
File size, in bytes, of the threat.
Minimum DAT
McAfee DAT files contain detection and repair information for threats. The Minimum DAT field specifies the lowest/oldest DAT version that is capable of detecting the first incarnation of a threat, and the release date. The highest/newest DAT version should always be used for the most complete protection and are available on the Anti-Virus Updates page.

Each description displays the minimum, fully tested, DAT version that includes regular detection for a particular threat. These fully tested DATs are released on a daily basis. If necessary, they are also released when a Medium, Medium On Watch, or High risk threat is discovered. An EXTRA.DAT will also be posted for these more prevalent threats, if necessary.

For each description listed, detection is always available. In the event that the DAT version specified is not yet available, an EXTRA.DAT file may be downloaded via the McAfee AVERT Extra.dat Request Page. Alternatively, minimally tested HOURLY BETA DAT files are available for downloading.
Updated DAT
McAfee DAT files are constantly being updated to enhance detection capabilities. The Updated DAT field specifies the released DAT version that contains the most up to date detection.
Minimum Engine
The scan engine uses the DAT files to detect threats. The Minimum Engine field specifies the lowest/oldest engine version that is capable of detecting this threat. The highest/newest engine version should always be used for the most complete protection and are available on the Anti-Virus Updates page.
Description Added
Date/time this description was published using Pacific Time.
Description Modified
Date/time this description was last modified using Pacific Time.
Risk Assessment
Corporate User Low
Home User Low Tab Navigation
Overview Characteristics Symptoms Method of Infection Removal Variants All Information Overview
This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Aliases
W32/NGVCK.a W32/NGVCK.b W32/NGVCK.c W32/NGVCK.d W32/NGVCK.dr W32/NGVCK.dr.intd W32/NGVCK.intd W32/NGVCK.ow Characteristics
This detection is heuristic in it's nature. It was designed to cover most of the creations of NGVCK virus construction kit. This virus kit produces assembler sources that were used to compile many dozens of different viruses. Many of these sources were manually modified before the compilation. At the moment of writing W32/NGVCK detections covers about 50 different virus variants and this number is constantly growing.

If you see a detection under that name and the scanner cannot clean the infected file it is likely to be a new virus variant. Please submit it to AVERT for analysis.


Symptoms
This family infects PE files. The most obvious sign of the infection is if your scanner triggers with "W32/NGVCK" name. It can be also:

W32/NGVCK.dr, W32/NGVCK.a, W32/NGVCK.b, W32/NGVCK.c, W32/NGVCK.d, W32/NGVCK.intd, W32/NGVCK.dr.intdOther sign is sudden increase of the filesize for many PE files, usually in the range of 2-6kb.
Mildly polymorphic and encrypted viruses would also be detected within this family.


Method of Infection
This virus family includes strains that use different infection techniques. Majority are, however, parasitic repairable variants.

A good deal of W32/NGVCK variants cannot function properly and are detected as intended viruses (with .intd suffix). Intended virus droppers are also common in this family - they are detected as W32/NGVCK.dr.intd (and that means they do not drop any virus).

Only a few variants are overwriting (and, thus, infected files cannot be repaired as their contents are largely lost).


Removal
All Users:
Use specified engine and DAT files for detection and removal.

Additional Windows ME/XP removal considerations


Variants
Variants
N/A

All Information
Overview -

This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Aliases
W32/NGVCK.a W32/NGVCK.b W32/NGVCK.c W32/NGVCK.d W32/NGVCK.dr W32/NGVCK.dr.intd W32/NGVCK.intd W32/NGVCK.ow
Characteristics
Characteristics -
This detection is heuristic in it's nature. It was designed to cover most of the creations of NGVCK virus construction kit. This virus kit produces assembler sources that were used to compile many dozens of different viruses. Many of these sources were manually modified before the compilation. At the moment of writing W32/NGVCK detections covers about 50 different virus variants and this number is constantly growing.

If you see a detection under that name and the scanner cannot clean the infected file it is likely to be a new virus variant. Please submit it to AVERT for analysis.


Symptoms
Symptoms -
This family infects PE files. The most obvious sign of the infection is if your scanner triggers with "W32/NGVCK" name. It can be also:

W32/NGVCK.dr, W32/NGVCK.a, W32/NGVCK.b, W32/NGVCK.c, W32/NGVCK.d, W32/NGVCK.intd, W32/NGVCK.dr.intdOther sign is sudden increase of the filesize for many PE files, usually in the range of 2-6kb.
Mildly polymorphic and encrypted viruses would also be detected within this family.


Method of Infection
Method of Infection -
This virus family includes strains that use different infection techniques. Majority are, however, parasitic repairable variants.

A good deal of W32/NGVCK variants cannot function properly and are detected as intended viruses (with .intd suffix). Intended virus droppers are also common in this family - they are detected as W32/NGVCK.dr.intd (and that means they do not drop any virus).

Only a few variants are overwriting (and, thus, infected files cannot be repaired as their contents are largely lost).

La ultima frase es lo mas temible ...

saludos

ms, 28-03-2007

[rankrb]

Hola.

Os adjunto dos resultados del hijackthis. El primero es el resultado que da con el usuario con el que estaba cuando entró el virus. Al abrir conexión con este usuario se dispara el uso de CPU y se resetea el PC al abrir conexión con modem.

El segundo es el resultado con un usuario distinto (los dos son administradores). Con este otro usuario no se dispara el consumo de CPU pero sí se resetea el PC al abri conexión con modem.



Saludos y gracias.

[rankrb]

Hola.

Copio el resultado:



***************CON USUARIO 1 *******************



Logfile of HijackThis v1.99.1

Scan saved at 23:12:00, on 28/03/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\SERVICES.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\HJT\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.netscape.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

F3 - REG:win.ini: run=C:\WINNT\ServicePackFiles\services.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINNT\ServicePackFiles\325103257.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\s237024.SG02121\ie_updater.exe (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE





***********************************************

**********CON USUARIO 2 **************

***********************************************



Logfile of HijackThis v1.99.1

Scan saved at 23:21:49, on 28/03/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\HJT\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kmsema.madrid.eur.slb.com/km/home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.netscape.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINNT\ServicePackFiles\325103257.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\s237024.SG02121\ie_updater.exe (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

[msc hotline sat]

No se permite mas que logs de 1 ordenador por Tema:



Para el primero que es el que hemos analizado, hay un fichero muy sospechoso "C:\WINNT\ServicePackFiles\services.exe" del que le pedimos que nos envie muestra para analizar especialmente, entre otros



Ficheros sospechosos, enviar muestra para analizar:



C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe



C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe



C:\Program Files\Compuware\QALoad\plgui.exe



C:\WINNT\ServicePackFiles\services.exe





y ya puede ir eliminando estas claves de momento:



F3 - REG:win.ini: run=C:\WINNT\ServicePackFiles\services.exe



O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe



O4 - HKCU\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe





Tras la recepcion del fichero lo analizaremos e informaremos





saludos



ms, 29-03-2007

[msc hotline sat]

Y esta clave tambien eliminala:



O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINNT\ServicePackFiles\325103257.dll (file missing)





(foma parte del mismo paquete )





ni que decir tiene que el SERVICES pedido como muestra no tiene nada que ver con el SERVICES.EXE de la carpeta de sistema , claro !



saludos



ms, 29-03-2007

[rankrb]

Hola:



He quitado todas esas claves e incluso estas líneas del system.ini:

[Windows]

load=C:\WINNT\ServicePackFiles\services.exe



..pero al rearrancar el PC vuelven a aparecer todas las entradas que había quitado del registro e incluso vuelven a aparecer las dos líneas en el system.ini. Volví a quitarlas, apagué y al encender de nuevo volvieron a aparecer todas las claves.



Perdón por no poder adjuntar los ficheros, pero los olvidé en casa. A lo largo del día los enviaré. Lo que si pude comprobar es que el realmente sospechoso es el services.exe, ya que la fecha es del día de la infección (20/03/2007) y no se puede borrar por estar en uso.

De cualquier forma, ¿Cómo puedo adjuntar un fichero .exe?.





Saludos, gracias.

[rankrb]

Hola.

Ya he eliminado las claves. En principio el PC parece responder

bien, pero sigo teniendo el problema de que la realizar la

conexión a internet (via modem) en cuando toco algo con el

mouse, el PC se resetea. Esto me pasa desde el día de la infección.



He intentado adjuntar el fichero services.exe despues de comprimirlo con winzip y password "virus", pero sigue sin adjuntarse.



Este el nuevo resultado:

Logfile of HijackThis v1.99.1

Scan saved at 18:42:53, on 30/03/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Compuware\QALoad\PlayerAgent.exe

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\Program Files\HJT\HijackThis.exe

C:\WINNT\system32\wuauclt.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.netscape.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\s237024.SG02121\ie_updater.exe (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE







Saludos, gracias.

[msc hotline sat]

Pues examinando el servicio de esta clave, :



O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\s237024.SG02121\ie_updater.exe (file missing)





Veo que posiblemente sea el culpable de la regeneracion del troyano:



http://www.bleepingcomputer.com/startups/ie_updater.exe-17334.html





Elimina dicha clave como has hecho con las demas, y comprueba que las demas no estén o si estan las eliminas, reinicias y a ver si se regeneran.



saludos



ms, 30-03-2007



nota; En cualquier caso luego envianos este fichero para analizarlo e implementar su control y eliminaicon en nuestras utilidades:



C:\Documents and Settings\s237024.SG02121\ie_updater.exe ms.

[rankrb]

Hola.

He intentado borrar esa clave con HijackThis tal y como hice con

las otras, pero al rearrancar volvía a aprecer.



Este es el resultado despues de intentar borrarla

(He adjuntado un fichero .zip,(passw: VIRUS) aunque la extensión sea .c. En el va el fichero que se solicita y otro que creo estar relacionado)



Saludos.



Logfile of HijackThis v1.99.1

Scan saved at 17:32:19, on 01/04/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\Program Files\Compuware\QALoad\PlayerAgent.exe

C:\Program Files\HJT\HijackThis.exe

C:\WINNT\system32\wuauclt.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.netscape.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = es.int.atosorigin.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = es.int.atosorigin.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = es.int.atosorigin.com

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\s237024.SG02121\ie_updater.exe (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

[msc hotline sat]

Los ficheros para analizar debes enviarlos adjuntandolos a un mail dirigido a zonavirus@satinfo.es , no adjuntandolos a este Tema, en cuanto se reciban se analizaran.

saludos

ms, 1-04-2007

[msc hotline sat]

Recibidos los ficheros sospechosos pra analizar, se implementan en la version de hoy del ELISTARA 13.69 QUE ESTARÁ DISPONIBLE ESTA TARDE A PARTIR DE LAS 20 h GMT.

Entonces la descargas, la pruebas y nos comnetas el resultado, gracias:


ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 3-04-2007

[rankrb]

Hola.

Despues de bajarme la versión indicada, la ejecuté y este es el resultado.





Tue Apr 03 21:44:19 2007

EliStartPage v13.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SERVICEPACKFILES\SERVICES.EXE --> Eliminado CWS.AM(dldr)

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\I --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "xp_system"="C:\WINNT\ServicePackFiles\services.exe"

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 03 21:45:19 2007

EliStartPage v13.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\s237024.SG02121\IE_UPDATER.EXE --> Eliminado, DownLoader.Murlo.FA

C:\orant\jdk\bin\MATH_G.DLL --> Infectado, Malware.ASPI

C:\orant\jdk\bin\SYSRESOURCE_G.DLL --> Infectado, Puper-Is





Reinicié, pero al probar la conexión del modem, el PC se sigue reiniciando a los 2 segundos de realizarse la conexión.

Buscando ficheros por fecha, encontré que coincidiendo con el día y la hora de la infección existían estos:

koos.exe

arcac.exe

proof

kprof

kr_done1

RunOnce.t__

RunOnce.tm_

Mkk9.sys



y un fichero bat llamdo _uninsep.bat con este contenido:

:Repeat

del "C:\WINNT\system32\update38336693.exe"

if exist "C:\WINNT\system32\update38336693.exe" goto Repeat

rmdir "C:\WINNT\system32"

del "C:\WINNT\TEMP\_uninsep.bat"



También encontre esta serie de ficheros .exe:

update38336693.exe

update70001783.exe

update82418279.exe

update97586206.exe

Y los renombró y aisló el antivirus: update65969262.exe.vir y el install_conga





Si es necesario los mando.



Saludos y gracias.

[msc hotline sat]

Sí, empezando por el primero , que se ve con el google que es troyano:

Complete scanning result of "koos.exe", received in VirusTotal at 03.16.2007, 09:28:11 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.3.15.0 03.16.2007 Win-Trojan/Wopla.25088
AntiVir 7.3.1.43 03.16.2007 TR/Proxy.Wopla.AG.9
Authentium 4.93.8 03.15.2007 W32/Trojan.AACF
Avast 4.7.936.0 03.15.2007 no virus found
AVG 7.5.0.447 03.15.2007 Proxy.KZC
BitDefender 7.2 03.16.2007 Trojan.Proxy.Wopla.G
CAT-QuickHeal 9.00 03.15.2007 TrojanProxy.Wopla.ag
ClamAV 0.90.1 03.16.2007 Trojan.Proxy-212
DrWeb 4.33 03.16.2007 Trojan.Sklog
eSafe 7.0.14.0 03.15.2007 Win32.Wopla.ag
eTrust-Vet 30.6.3484 03.16.2007 Win32/Pokier!generic
Ewido 4.0 03.15.2007 Proxy.Wopla.ag
FileAdvisor 1 03.16.2007 Not analyzed yet
Fortinet 2.85.0.0 03.16.2007 W32/Wopla.AG!tr
F-Prot 4.3.1.45 03.15.2007 W32/Trojan.AACF
F-Secure 6.70.13030.0 03.16.2007 Trojan-Proxy.Win32.Wopla.ag
Ikarus T3.1.1.3 03.16.2007 Trojan-Proxy.Win32.Wopla.ag
Kaspersky 4.0.2.24 03.16.2007 Trojan-Proxy.Win32.Wopla.ag
McAfee 4985 03.15.2007 no virus found
Microsoft 1.2306 03.16.2007 no virus found
NOD32v2 2119 03.16.2007 probably a variant of Win32/Genetik
Norman 5.80.02 03.15.2007 W32/Wopla.DC
Panda 9.0.0.4 03.15.2007 Trj/Spammer.ZX
Prevx1 V2 03.16.2007 Win32.Malware.gen
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.15.2007 Trojan-Proxy.Win32.Wopla.ag
Symantec 10 03.16.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 Trojan/Proxy.Wopla.ag
UNA 1.83 03.15.2007 TrojanProxy.Win32.Wopla.6877
VBA32 3.11.2 03.15.2007 Trojan-Proxy.Win32.Wopla.ag
VirusBuster 4.3.7:9 03.15.2007 no virus found

y con el segundo, que tambien resulta ser malware:

C:\WINDOWS\inet20126\arcac.exe Infecté : Trojan-Clicker.Win32.Agent.hz,

Envíanos todos los que indicas, incluyendo los bat y los exe posteriores, pues ya ves que el bat llama al primer exe


Tras recibirlos, los analizaremos e implementaremos el control y eliminación de los que proceda en nuestras utilidades, de lo cual informaremos.

saludos

ms, 4-04-2007

[msc hotline sat]

Todos son malos, pero no sé si nos dará tiempo a controlarlos hoy...



Por ello de momento renombre la extension de estos ficheros a .VIR , o pongasela si no la tienen, y asi evitará que se ejecuten hasta que implementemos su control y eliminacion en nuestras utilidades.



saludos



ms, 4-04-2007

[rankrb]

Hola.



He probado renombrando todos y cada uno de ellos, pero aún así continúo teniendo problemas. No sé si alguno de estos programas me ha podido modificar algún fichero (exe, dll, etc..)

del /system32 ó alguna entrada del registro. Tengo copia del export de todo el registro de hace relativamente poco tiempo(antes de la infeccion). La difierencia en tamaño con el actual no es muy grande pero no sé como compararlos (si es que es posible). No obstante experaré a las implementaciones que comentais.



Saludos, gracias.

[msc hotline sat]

Estaremos todo el día trabajando con ello, porque hay cada uno que se las trae..., al final del día subiermos las nuevas utilidades que controlarán todo lo que hayamos podido



ya lo comentaremos



saludos



ms, 4-04-2007

[msc hotline sat]

Hoy terminamos el analisis, control y eliminacion de todas las muestras que nos has enviado.



A partir del ELISTARA 13.71 que subiremos a las 20 h UTC, estarán contemplados



Tras descargarla pruebala y tras ello posteanos el contenido de c:\infosat.txt para ver el proceso realizado, gracias





saludos



ms, 10-04-2007

[rankrb]

Hola!.

SOLUCIONADO!!. Ya no se reseta despues de establecer la conexión. Perfecto.



No obstante os pongo aquí el resultado de "pasar" la última versión del Elistara.



Gracias, un abrazo.





Tue Apr 10 21:47:14 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\KOOS.EXE --> Eliminado Proxy.Wopla.AG

C:\WINNT\SYSTEM32\KPROF --> Eliminado

C:\WINNT\SYSTEM32\POOF --> Eliminado

C:\WINNT\SYSTEM32\RUNONCE.T__ --> Eliminado (Fichero Complementario).

C:\WINNT\SYSTEM32\RUNONCE.TM_ --> Eliminado (Fichero Complementario).

C:\WINNT\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 10 21:47:23 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\orant\jdk\bin\MATH_G.DLL --> Eliminado, Malware.ASPI

C:\orant\jdk\bin\SYSRESOURCE_G.DLL --> Eliminado, Puper-Is

C:\WINNT\system32\ARCAC.EXE --> Eliminado, LugSearch

C:\WINNT\system32\MKK9.SYS --> Eliminado, RootKit.Agent.EA

C:\WINNT\system32\UPDATE26313404.EXE --> Eliminado, CWS.AM(dldr)

C:\WINNT\system32\UPDATE38336693.EXE --> Eliminado, RootKit.Agent.EA(dropper)

C:\WINNT\system32\UPDATE70001783.EXE --> Eliminado, Pakes(dldr)

C:\WINNT\system32\UPDATE82418279.EXE --> Eliminado, Proxy.Wopla.AG(dropper)

C:\WINNT\system32\UPDATE97586206.EXE --> Eliminado, Spam-Xarvester(dropper)

[msc hotline sat]

Pues tenia de todo, y le faltan parches... Debe actualizarlos lanzando un windowsupdate.



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 12-4-2007