Trojan.tibs.y

[carmenc]

Hola foro! Hice un escaneo con el ewido en modo seguro, el reporte es el siguiente:



[b]__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________





Name: Trojan.Tibs.y

Path: C:\WINDOWS\system32\pee.exe.exe

Risk: High[/b]



No es virus original por el cual inicie el escaneo, parece ser que el otro ya fue eliminado.



Alguna herramineta o procedimiento para eliminarlo?



Saludos y gracias!



Carmenc

[msc hotline sat]

No habia visto nunca un fichero con doble extension .EXE :roll:



Envianos muestra de :



C:\WINDOWS\system32\pee.exe.exe





y lo analizaremos e informaremos.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 24-05-2007

[carmenc]

hola msc hotline sat!, gracias por tu respuesta, soy nueva en esto asi que mi pregunta seguramente es tonta ... te envio el archivo que supuestamente esta infectado?



Saludos!

[msc hotline sat]

Exactamente, son estos ficheros sospechosos los que analizamos y, en su caso, controlamos y procedemos a implementar su eliminacion con nuestras utilidades, de lo cual informamos posteriormente



saludos



ms, 24-05-2007

[carmenc]

ok, busque en la carpeta system32 y no encuentro el archivo, pero buscando encontre en otra carpeta (C:\WINDOWS\Prefetch) este que tiene un nombre similar PEE.EXE.EXE-158BB4E7.pf



Es posible que no este el archivo en la carpeta que dice el ewido??? la opcion de ver archivos ocultos la tengo activada ...



Saludos!

[msc hotline sat]

No, los ficheros .PF son prefecth, extractos para acelerar el lanzamiento de la aplicacion, pero no sirve para el analisis.



Mira que no esté oculto o con atributo de sistema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 24-05-2007

[carmenc]

Hola msc hotline sat!!! busque por todos ese archivo (no esta ni oculto ni na con atributos ....) pero parece que ya no esta, realmente no tengo idea ... pase de nuevo el ewido y no encontro nada, despues pase el avg antispyware y el resultado es el siguiente que esta en cuarentena:



[b]---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------



+ Creado en: 21:47:51 24/05/2007

+ Resultado del análisis:



C:\Documents and Settings\pichi\Configuración local\Temp\7704.exe -> Trojan.Small.na : No se realizó ninguna acción.



::Fin del informe[/b]



Parece que siempre aparece un virus distinto y el anterior desaparece, es la primera vez que me sucede algo asi; por el momento estoy trabajando en modo seguro ya que en el normal no puedo iniciar; asi que espero tu consejo



Saludos y desde ya muchas gracias !!!!!



Carmenc

[msc hotline sat]

Pues a ver si encuentras este fichero y nos lo envias:



C:\Documents and Settings\pichi\Configuración local\Temp\7704.exe



y sino, lanza tu AVG, que te diga donde te detecta el bicho y [b] sin reiniciar [/b] buscalo , que si lo ha detectado es que entonces lo tienes con el nombre que te indique, y nos lo envias, gracias



saludos



ms, 25-05-2007

[carmenc]

Bueno, les acabo de enviar el correo con el archivo, espero que puedan ayudarme ...

mil gracias !!!!!!! :P



carmenc

[msc hotline sat]

Sí, en unas 3 horas entraremos a trabajar en SATINFO y procederemos al analisis de las muestras recibidas de lo cual informaremos



saludos



ms, 25-05-2007

[msc hotline sat]

Con la nueva version 14.06 del ELISTARA pasamos a implementar el control y eliminacion de 7704.exe



Esta tarde a partir de las 20 h GMT se subira a esta web para evaluacion



saludos



ms, 25-5-2007

[carmenc]

Hola!!! gracias por tu ayuda! baje la aplicacion, la ejecute y elimino el virus, pero al reiniciar la pc nuevamente estoy con el mismo problema :cry: se reinicia!!! y la unica manera de que funcione es con modo seguro.

Hay algo que no estoy haciendo bien? Alguna idea ?



Saludos!



Carmenc

[msc hotline sat]

Sí, implementamos su control por cadenas, si bien no sabemos de donde le ha venido, claro, y puede que tenga el dropper y vuelva a crearlo...



pues prueba esta utilidad:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 26-05-2007

[carmenc]

Buenas!!

Aca va el resultado del SPROCES:



Sat May 26 22:56:02 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\WINDOWS\SYSTEM32\SOL.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES-SATINFO.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: hp psc 1000 series.lnk

O4 - Global Startup: hpoddt01.exe.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://67.15.101.3/g_bin/eng/solitaire_2_0_0_24.cab

O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} (Hewlett-Packard Online Support Services) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ericacordoba.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0) - http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.5.0) - http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - AVG Anti-Spyware 7.5 - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - (no file)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINDOWS\system32\drivers\tmcomm.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: USB Scroll Mouse Driver (genmcmnUSB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys (file missing)

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\lvusbsta.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Logitech QuickCam Communicate (QCMerced) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVCM.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicio para el controlador de muestra (WDM) AC'97 (SiS7018) - Silicon Integrated Systems Corp. - C:\WINDOWS\SYSTEM32\drivers\ac97sis.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



26 Servicios.

6 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.



Saludos !!!!

[msc hotline sat]

Puedes eliminar estas claves:



O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)





O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://67.15.101.3/g_bin/eng/solitaire_2_0_0_24.cab





O23 - Service: USB Scroll Mouse Driver (genmcmnUSB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys (file missing)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-05-2007

[carmenc]

Hola! Elimine las claves, menos esta que no estaba O23 - Service: USB Scroll Mouse Driver (genmcmnUSB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys (file missing)



Reinicie y lo mismo ... llega hasta la pantalla de "bienvenidos" y se reinicia :?



Saludos!

Carmenc

[msc hotline sat]

Pues mira si encuentras oculto este fichero y en tal caso renombras su extension a .VIR



C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys



pero recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y dinos si arrancando en modo seguro si que arranca (supongo que sí, sino no podrias hacer lo que has hecho, :roll:



saludos



ms, 28-05-2007

[carmenc]

hola! lamentablemente no encontre nada !! soy un caso perdido !!!!! mi unica salida es formatear la pc ????

Saludos!!!

[msc hotline sat]

No, si ya no está ni la clave ni el fichero, señal que ya lo ha eliminado algun anti ...



Dinos si persiste algun problema y en su caso cual, gracias



saludos



ms, 29-05-2007

[carmenc]

Hola !! :lol: Pase varios antivirus online y no detectaron nada, pero el Kapersky me dio el siguiente informe :shock: :



KASPERSKY ONLINE SCANNER REPORT

Wednesday, May 30, 2007 1:40:48 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.93.0

Kaspersky Anti-Virus database last update: 29/05/2007

Kaspersky Anti-Virus database records: 333790





Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true



Scan Target My Computer

A:\

C:\

D:\



Scan Statistics

Total number of scanned objects 51082

Number of viruses found 2

Number of infected objects 4

Number of suspicious objects 0

Duration of the scan process 02:44:48



Infected Object Name Virus Name Last Action

C:\Archivos de programa\ESET\cache\FND13.NFI Infected: Trojan-Clicker.Win32.Agent.hz skipped



C:\Archivos de programa\ESET\infected\4HZY35DA.NQF Infected: Trojan-Spy.Win32.BZub.jg skipped



C:\Archivos de programa\ESET\infected\4RNN4ZCA.NQF Infected: Trojan-Clicker.Win32.Agent.hz skipped



C:\Archivos de programa\ESET\infected\DCCFR3BA.NQF Infected: Trojan-Spy.Win32.BZub.jg skipped



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped



C:\WINDOWS\CSC\00000001 Object is locked skipped



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\default Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\software Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\system Object is locked skipped



C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



Scan process completed.



Saludos !!

[msc hotline sat]

Pues envienos estos 4 ficheros infectados y los analizaremos y procederemos a controlarlos con nuestras utilidades.



De todas formas pareec que 3 de ellos ya estan en una carpeta de cuarentena de ESET y el cuarto no está en proceso... asi que si bien conviene eliminar restos, no está en gran peligro al no estar en uso.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



tras recibirlas, las analizaremos e informaremos



saludos



ms, 30-05-2007

[carmenc]

Buenas! acabo de enviar el mail con los 4 adjuntos, espero que con esto ya termine todo ..



Muchas gracias!!!!!

Carmenc

[msc hotline sat]

Pues mas bien no termina... , con esto vamos a solo a empezar !



En 3 o 4 horas, cuando empecemos a trabajar en SATINFO, veremos si han llegado y los analizaremos



saludos



ms, 31-05-2007

[msc hotline sat]

Han entrado en proceso y estan encriptados con A5. Se procede a desencriptarlos y analizarlos



Ya informaremos



saludos



ms, 31-05-2007

[msc hotline sat]

Hay tres virus, uno está repetido con dos variantes de SPYBZUB, y otros dos ficheros identicos son clikers

Todos son implementados en el ELISTARA de hoy, 14.11, el cual conviene que pruebes por si hubiera mas restos asi como para restaurar las claves por ellos modificadas, pero estos cuatro ficheros, al estar encriptados, no serán detectados, debiendo arrancar en modo seguro y eliminarlos manualmente, que al no estar en uso ni haber ningun antivirus residente, no opondrán resistencia.



A partir de las 20 h GMT de hoy estaran disponibles



saludos



ms, 31-05-2007