W32.Myzor.FK@yf y Trojan-spy.win32@mx

[binarius]

hace 10 dias aprox. fui infectado por el virus o lo que sea no soy nongun perito en la materia pero que va el nombre es W32.Myzor.FK@yf, y tambien el Trojan-spy.win32@mx, actualmente son muchos mas los que me acusa el sistema,el cual o los cuales no he podido reparar, y que tambien limitan el sistema a casi nada, me explico conectarme si puedo porque estoy en red, pero acceder en si a internet en muy dificil lo que actualmente hago solo por messenger casi sin problema, pese a que poseo mcafee 8.0.0 enterprise por mi empresa el cual no detecta ningun problema en el sistema todo OK, en resumen la cosa se pone mas peluda necesito soluciones... gracias PD: no se si alguien me pueda ayudar o que me diga paso a paso lo que debo hacer para eliminarlo...



Cuando me conecto al internet sale un mensaje que dice que estoy infectado por ese virus.



actualmente recibo mensajes tales como:

*********************************************

*****security alert: spyware found

your computer is infected with last version of PSW.x-virtrojan. PSW trojans steal your private information such as: passwords, ip-address, credit card information, registration details, documents, etc.

click this baloon to remove PSW.x-vir spyware.



*****

al analizar el sistema con WINANTIVIRUS PRO 2006



me indica lo siguiente

***xiti

c:/documents and setting/cdm/cookies/cdm@xiti(1).txt



***zangosearchassistant HKEY_LOCAL_MACHINE/software/microsoft/windows/currentsversion/explorer/browser helper objects{9030D464-4C02-4ABF-8ECC-5164760863C6}

***plugginsaccess

HKEY_CURRENT_USER/software/coulomb



***spygraphica

c:/windows/system32/GETCPU.DLL

[msc hotline sat]

Pruebe el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-02-2007

[binarius]

entonces tras ejecutar el alistara 24022007

la informacion es la siguiente.



***********************************************





Thu Feb 15 13:27:41 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Puper-Isa Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.33

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WAV6COM.DLL.Muestra EliStartPage v13.33

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\WINANTIVIRUS PRO 2006\WAV6COM.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINPGI.DLL.Muestra EliStartPage v13.33

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\WINANTIVIRUS PRO 2006\WINPGI.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.33

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADD.DLL --> Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\COMPANION WIZARD\WAPCHK{08959429-7BFD-41A4-9E01-6A0AB34EDB58}.DLL --> Eliminado WinAntiVirus Pro 2006

Entrada Eliminada [HKLM\...\Run] "WinAntiVirusPro2006"=""C:\Archivos de programa\WinAntiVirus Pro 2006\WinAV.exe" /min"

Eliminada Class, "{1AC5C88A-DEA7-462B-A232-04AF5CA42E7E}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{2178F3FB-2560-458f-BDEE-631E2FE0DFE4}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\winpgi.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isadd.dll

Eliminada Class, "{723D54C7-7483-4EB8-8EED-CE5B2AEA534D}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{84938242-5C5B-4A55-B6B9-A1507543B418}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Archivos de programa\Common Files\Companion Wizard\WapCHK{08959429-7BFD-41A4-9E01-6A0AB34EDB58}.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.84,85.255.112.137

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%ProgMenuInicio%\WinAntiVirus Pro 2006"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 15 13:30:04 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Common Files\Companion Wizard\WAPCHK.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Winamp\UNINSTALL_DFX.EXE --> AutoExtraible

C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1844237615-1450960922-682003330-1003\Dc8\ANTIVERMEANS.EXE --> Eliminado, MalwareWipe (antispy)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Feb 15 13:41:00 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.33

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADD.DLL --> Eliminado

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isadd.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.84,85.255.112.137

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE



Thu Feb 15 14:03:41 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.84,85.255.112.137

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 15 14:04:00 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Winamp\UNINSTALL_DFX.EXE --> AutoExtraible

C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)





debo recalcar que el sistema mejoro bastante, pero hay ciertos mensajes que no entiendo como...

**TU SERVIDOR DNS NO ES EL DE SU ISP 85.255.116.84 , 85.255.112.137

[MrKogoyo]

Pues haz lo que te indica el log:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.33 [/quote]

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\WAV6COM.DLL.Muestra EliStartPage v13.33[/quote]


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\WINPGI.DLL.Muestra EliStartPage v13.33[/quote]


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.33[/quote]

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.33[/quote]

[b]¿COMO ENVIAR FICHEROS?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tambien:


[quote]No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/quote]

[b]ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Debes colocar el EliStarA y ELINOTIF.DLL en una carpeta y ejecutarlo



Ademas Te hacen Falta varios Parches, Actualiza tu Windows lanzando un Windows Update



Comenta los Resultados...



[b]Slds. !!

Mr.K.[/b]

[msc hotline sat]

Pues haz lo indicado en el post anterior y vuelve a pasar el ELISTARA y tras reiniciar terminará lo que ahora no ha podido gracias al ELINOTIF.DLL



Luego envianos las muestras indicadas pues tienes downloaders no controlados que, tras analizarlas, implementaremos en la proxima veriosn del ELISTARA



Y OJO AL PARCHE !



Tienes configurados en el registro unos servidores de DNS maliciosos de Ukraina, y no creo que sea voluntariamente...



85.255.116.84 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.137 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp



Sino te estan llevando al huerto... :lol:



y mañana , a la vista de las muestras que envies, seguiremos





saludos



ms, 15-02-2007

[msc hotline sat]

Recibidas las muestras, se implementa su control y eliminacion en la nueva version de hoy del ELISTARA 13.35



Son variantes del Downloader PUPER de las que ya controlamos unas 200...



SALUDOS



MS, 16-02-2007