virus mysql? (SOLUCIONADO)

kaninox · Mensaje por **kaninox** » 21 May 2007, 05:50

holas pues no se si sera virs o troyano o no se realmente pero, he fiormateado mi compu muchas veces por que pierdo la conexion con internet y pues tambien mi localhost como tengo montado un pequeño servidor en mi pc, con apache php y mysql para pruebas, pues me he dao cuenta que me aparece unos archivos que se llaman mysql.exe my.exe y stable.exe y un clown.dll que estan en C: justo en la raiz, yo crei que eran del programa de mysql pero mi hermana en su particion me dijo que si habia un archivo que era mio y mire y aparecia mysql.exe ? tonces pense debe haber algo con ello mi pregunta es, sera un virus o algo?

pd: edito por cierto me di cuenta que ya no me va el sysconfig :/

saludos

si quieren les envio los archivos en rar :)

Mensaje por **msc hotline sat** » 21 May 2007, 07:51

No es probable que sean viricos, pero ante los problemas que indica, lance estos AV ONLINE y comentenos el resultado, gracias:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

saludos

ms, 21-05-2007

kaninox · Mensaje por **kaninox** » 21 May 2007, 23:17

muchas gracias pues para empezar realice el nanoscan y me salio que habian archivos sospechosos entre ellos clown.dll me registre y realice un scan con total scan y me ahorro varios troyanos y virus entre ellos el de mayor peligrosidad el clown.dll que estaba en la system32 y en C: en la raiz pues me lo quito pero no me detecto un autoexec.exe y stable.exe que quedaron en la raiz asi que supongo que al reiniciar devolverian los archivos asi que los elimine a manito, espero funcione si no cuento nuevamente...

el resto era malware virus...

C:\my.exe

C:\mysql.exe

C:\Documents and Settings...IE5\4HI3G9IJ\mysql[1].exe

C:\Documents and Settings\pouuh\mysql.exe

C:\Documents and Settings...IE5\VSGETDK1\mysql[2].exe

los desinfecto correctamente.

muchas gracias ahora

me salen dos archivos que dice que son sospechosos y no los puedo enviar a laboratorio

C:\WINDOWS\SYSTEM32\SYSTEST32.EXE

C:\WINDOWS\SYSTEM32\TFUCRLLWDC.EXE

alguna sugerencia ?

kaninox · Mensaje por **kaninox** » 22 May 2007, 04:07

Les dejo el log file que saque hace un rato con el hijackthis ya lo tenia hace tiempo pero no se que es lo que significa :P bueno, como veo

C:\WINDOWS\system32\tfucrllwdc.exe

C:\WINDOWS\system32\systest32.exe

se me estan ejecutando, pero no se que hacer ni tampoco como llegaron hay, formatee hace solo 2 dias y no he bajado nada debe de ser algun programa que instalo pero raro esto no me habia sucedido nunca y siempre instalo los mismos :/ como saber que programa es el que me infecta... o bien si me pege el virus antes cabe la posibilidad de que aunque formatee este quede en la rom u algo asi :P no se... por que ya varias veces me pasa que reiniciaba y suas moria el internet la conexion etc como comente arriba, ahora esto me pasaba como tenia el nod32 cuando reiniciaba este se pegaba y luego partia y ya sucedia lo comentado alo mejor reconocia el viruelo pero nada hacia y me botaba todo :/....

Logfile of HijackThis v1.99.1

Scan saved at 21:07:06, on 21/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tfucrllwdc.exe

C:\WINDOWS\system32\systest32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX01.063\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Microsoft] tfucrllwdc.exe

O4 - HKLM\..\Run: [Configuration Loader] systest32.exe

O4 - HKLM\..\Run: [Windows Update] C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

O4 - HKLM\..\RunServices: [Microsoft] tfucrllwdc.exe

O4 - HKLM\..\RunServices: [Configuration Loader] systest32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

Mensaje por **msc hotline sat** » 22 May 2007, 05:42

Dice : "me salen dos archivos que dice que son sospechosos y no los puedo enviar a laboratorio " por qué ???

No solo necesitamos que nos envie los indicados, sino que añada este al envio de sospechosos para analizar:

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-05-2007

kaninox · Mensaje por **kaninox** » 22 May 2007, 10:29

bueno le envie los archivos pero los archivos...

C:\WINDOWS\system32\tfucrllwdc.exe

y el solicitado

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

no me figuran en el pc :/ y eso que los busque como admin y todo... archivos ocultos etc... y nada no figuran raro :/

ni si quiera me figura la carpeta System en archivos comunes...

Lo otro le adjunte unos archivos nuevos que me aparecieron en la raiz C: van dentro del .rar

bueno eso...

Mensaje por **msc hotline sat** » 22 May 2007, 10:56

Los ficheros que indica no encontrar, estan siendo ejecutados y residentes en el log del HJT:

Logfile of HijackThis v1.99.1

Scan saved at 21:07:06, on 21/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tfucrllwdc.exe <---------------

C:\WINDOWS\system32\systest32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe <----------------

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX01.063\HijackThis.exe

Son los que marco con una flecha, asi que si no los encuentra es porque quizas sten ocultos o con atributos de sistema , o haya un RootKit que los oculte...

Arranque en modo seguro para que no se active el RootKit y vea:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Es especialmente importante localizar y enviarnos estos ficheros, especialmente si tienen las picardias de ocultarse tanto ...

saludos

ms, 22-05-2007

kaninox · Mensaje por **kaninox** » 22 May 2007, 20:32

si ya los encontre gracias se los envio de inmediato.

pero una gran duda, ahora que reinicie mi computadora resulta que me creo una nueva cuenta de acceso protegida con contraseña, la elimino?

o la dejo intacta no se si puede comprometer archivos y demas

la cuenta se llama iss pero es limitada...

gracias

kaninox · Mensaje por **kaninox** » 23 May 2007, 07:39

le corri hoy a mi pc el trendmicro y me detecto el tfucrllwdc.exe pero no puedo eliminarlo me dice que les envie la info me parece que es un tanto molesto el virus este...

salia como malware por si en algo ayuda uno nunca sabe...

aps espero no se olvide de decirme que hago con la nueva cuenta que se me creo, la elimino manualmente numas, que me cree una cuenta y rpotegida con contraseña bastante raro esto...

Mensaje por **lucl** » 23 May 2007, 09:25

Espera la recomendacion de msc, pero yo sinceramente la eliminaria, si no has sido tu entonces? Intenta a ver si puedes quitarla a ver que ocurre , en cuanto a tus envios te diran algo a lo largo del dia de hoy, saludos

Mensaje por **msc hotline sat** » 23 May 2007, 09:51

En cuanto descarguemos los correos del servidor (hay unos cientos cada día...) y encontremos el suyo, lo analizaremos e informaremos

Evidentemente si Trend indica que es un malware, vamos por buen camino...

Si es de 300-400 kB, con 10 letras y EXE podria ser un Navipromo...

De momento puede renombrar dichos ficheros a extension .VIR y reinicar, para que ya no se ponga en marcha y veamos si asi trabaja normalmente.

saludos

ms, 23-05-2007

Mensaje por **msc hotline sat** » 23 May 2007, 10:06

Buscando algo con su referencia no hemos recibido nada...

Recuerde:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

si no lo ha enviado así, repita el envio, gracias

saludos

ms, 23-05-2007

kaninox · Mensaje por **kaninox** » 23 May 2007, 10:18

envie con mi correo gmail puse mi nick kaninox

los .rar los envie con password VIRUS como uds ponen...

mi mail kaninos4style@gmail.com

en los asuntos puse

muestras de virus y en el otro

muestras de virus 2

ya que envie 2 muestras...

renombro entonces a .VIR y les cuento

se los reenvio nuevamente :)

Mensaje por **msc hotline sat** » 23 May 2007, 10:19

y seguro que lo envió a zonavirus@satinfo.es ???

En cualquier caso, repita el envio porque no ha llegado, gracias

saludos

ms, 23-05-2007

kaninox · Mensaje por **kaninox** » 23 May 2007, 10:23

si si zonavirus@satinfo.es

reenvie nuevamnete gracias por el tiempo

Mensaje por **msc hotline sat** » 23 May 2007, 10:25

En cuanto lleguen les daremos prioridad

saludos

ms, 23-05-2007

kaninox · Mensaje por **kaninox** » 23 May 2007, 10:30

gracias una consulta hice otro log para ver si ha cambiado algo y me aparece algo nuevo que el trend tambien lo tomo como virus? lo renombro tambien a .VIR

Logfile of HijackThis v1.99.1

Scan saved at 3:33:40, on 23/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tfucrllwdc.exe

C:\WINDOWS\system32\systest32.exe

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\rpcv32.exe <-------- ESTO

C:\WINDOWS\system32\ddpo32.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX00.047\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Microsoft] ddpo32.exe

O4 - HKLM\..\Run: [Configuration Loader] systest32.exe

O4 - HKLM\..\Run: [Windows Update] C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

O4 - HKLM\..\RunServices: [Microsoft] ddpo32.exe

O4 - HKLM\..\RunServices: [Configuration Loader] systest32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

lo que sale marcado como ESTO era lo que salia como malware pero debe ser un archivo creado ya por el viruelo por que no estaba igual que

C:\WINDOWS\system32\ddpo32.exe

que debe ser de ahora numas o no se lo que es realmente entendido no soy en el tema :(

saludos...

kaninox · Mensaje por **kaninox** » 23 May 2007, 10:39

solo informo que los renombre a .VIR aunque me decian que los ocupaba el sistema, pero como tengo la herramienta Unlocker con ella los logre renombrar ahora solo esperar si los demas archivos

C:\WINDOWS\system32\rpcv32.exe

C:\WINDOWS\system32\ddpo32.exe

hago lo mismo esque desconosco que sean de sistema u algo..

saludos.

Mensaje por **msc hotline sat** » 23 May 2007, 10:42

Aparte del C:\WINDOWS\system32\tfucrllwdc.exe

envianos tambien estos otros muy sospechosos:

C:\WINDOWS\system32\systest32.exe

C:\WINDOWS\system32\rpcv32.exe

ddpo32.exe

systest32.exe

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe

saludos

ms, 23-05-2007

Mensaje por **msc hotline sat** » 23 May 2007, 10:43

y si quieres, renombralos todos a extension .VIR y reinicia, que asi ya no podrán ponerse en uso y podrás trabajar sin este virus o lo que sea, en memoria

saludos

ms, 23-05-2007

kaninox · Mensaje por **kaninox** » 23 May 2007, 11:06

gracias renombre y reenvio nuevamente como a lo mejor hay problemas con gmail envie con hotmail es lo mismo solo que hotmail

kaninos4style@hotmail....

gracias por su tiempo :)

pd: se me olvidaba que en este ultimo envio estan todos los archivos hasta los ultimos 2 solicitados

Mensaje por **msc hotline sat** » 23 May 2007, 11:10

Recibido el primer mail con 2 RAR de 3 y 2 ficheros, que entran en analisis, ya informaremos

saludos

ms, 23-05-2007

Mensaje por **msc hotline sat** » 23 May 2007, 12:15

Analizados, vemos SDBOT, RBOT,IRCBOT, que pasamos a controlar con el ELITRIIP de hoy y otro que es un PWS (Pasword sthealer) que lo implementamos en el ELISTARA

Asi que esta noche >20 h GMT, descargue y pruebe las dos utilidades indicadas:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

recuerde que habran de ser el ELISTARA 14.04 o superior y el ELITRIIP 3.59 O SUPERIOR

saludos

ms, 23-05-2007

kaninox · Mensaje por **kaninox** » 24 May 2007, 07:48

maestro que sos, muchas gracias aqui les dejo el resultado...

algun chequeo para saber si mi pc anda bien solo con esto de todas formas me anda super bien, ya se que debo instalar las actualizaciones...

una duda amigo que es y que se supone hace el Bifrose

que me detecto y elimino en unos programillas, supongo ellos ocacionaban esto.

Thu May 24 00:42:50 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYS32.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Configuration Loader"="systest32.exe"

Entrada Eliminada [HKLM\...\RunServices] "Configuration Loader"="systest32.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft"="ddpo32.exe"

Entrada Eliminada [HKLM\...\RunServices] "Microsoft"="ddpo32.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\Archivos de programa\Archivos comunes\System\easypwnt.exe"

ALERTA. WindowsUpdate Incompleto.

Thu May 24 00:43:25 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\System\easypwnt.exe.VIR --> Eliminado, SdBot.worm.gen

C:\Documents and Settings\Under Family\s.exe --> Eliminado, RBot

C:\Documents and Settings\Under Family\Configuración local\Archivos temporales de Internet\Content.IE5\PS5I906O\rBot[1].exe --> Eliminado, SdBot.worm.gen.G

C:\Documents and Settings\Under Family\Configuración local\Archivos temporales de Internet\Content.IE5\PS5I906O\sql[1].exe --> Eliminado, RBot

C:\Servidor\mysql\data\soundvol32.exe --> Eliminado, RBot

C:\WINDOWS\system32\ddpo32.exe.VIR --> Eliminado, SdBot.worm.gen.G

C:\WINDOWS\system32\rpcv32.exe.VIR --> Eliminado, RBot

C:\WINDOWS\system32\tfucrllwdc.exe.VIR --> Eliminado, RBot

Thu May 24 00:45:40 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Thu May 24 00:45:46 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\pro\enchula_xp a vista\VistaIconsPack.v1.0.eng.exe --> Eliminado, Bifrose (dropper)

E:\pro\enchula_xp a vista\Vista_Dock.exe --> Eliminado, Bifrose (dropper)

Thu May 24 00:46:25 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Thu May 24 00:46:29 2007

EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Thu May 24 00:46:45 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSTEST32.EXE.VIR --> Eliminado.

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 00:47:18 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Mozilla Firefox\plugins\NPNANOINSTALLER.DLL --> Eliminado, Clicker.Agent.JH

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4DAVOTMZ\STABLE[1].EXE --> Eliminado, PWS-LdPinch.BIA

Thu May 24 00:50:22 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Thu May 24 00:50:27 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Thu May 24 00:51:10 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Mensaje por **msc hotline sat** » 24 May 2007, 10:57

Pues se ha hecho limpieza...

Y sobre lo que es el Bifrose, es un Backdoor, o sea un puerta trasera por la que el hacker puede controlar remotamente el PC infectado, y hacer con él lo que le place ! Desde capturar datos que pueden comprometer la confidencialidad , hasta dificultar el trabajo del usuario. Puede capturar incluso las pulsaciones del teclado y capturar passwords bancarios... Luego envía la informacion recogida a través de cualquier medio como correo electrónico, FTP, etc.

Ya tenemos mas de 20 variantes de BIFROSE controlados con el ELITRIIP, pero periodicamente vamos recibiendo nuevas muestras desconocidas o mutaciones de los ya conocidos

Pues instala cuando puedas las actualizaciones y por nuestra parte ya damos el tema por solucionado y procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 24-05-2007