Ayuda!! Tengo el Trojanhorse Downloader ZLob.MCQ

Mayfill · Mensaje por **Mayfill** » 23 Jul 2007, 15:44

Hola a todos:

Mi AVG acaba de detectar este virus, dice q lo elimino, pero quiero estar segura de q mi pc esta limpia. Gracias de antemano por la ayuda q me puedan dar. :lol:

Mensaje por **lucl** » 23 Jul 2007, 17:05

Hola Mayfill, pasate elistara y ademas si no tienes el spybot instalatelo pues elimina el zlob y demas variantes, peganos el log que te dejara en C infosat.txt, ya sabes, y el spybot si lo descargas actualizalo bien primero y lo pasas a ver si te encuentra alguno mas, saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/spybot-sd.asp

Mayfill · Mensaje por **Mayfill** » 23 Jul 2007, 17:44

Hola lucl: Pues sabes q busque el file que me tiro el AVG, el fpupdateax.exe y lo borre. Voy ahora a pasar el elistara y posteo el log. Gracias

Mensaje por **msc hotline sat** » 23 Jul 2007, 18:04

Pues recuerda que las aplicaciones en windows no se copian ni se borran sino que se instalan y desinstalan, y que cada malware lleva asociado modificacion de claves de registro que aunque borres el fichero, queda, y que justo borrando el fichero, eliminas la pista para encontrar dichas claves, por lo que otra vez, antes de borrar un fichero sospechoso, comentanoslo o envianos muestra para analizar, para monitorizarlo y ver lo que hace para deshacerlo, si procede.

Ya hecho solo sirve para que lo tengas en cuenta en el futuro..., ahora veamos no solo con el ELISTARA sino probando tambien el ELITRIIP, el informe que nos genera en el C:\infosat.txt , pues los SpyBot los controlamos con el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 23-07-2007

Mayfill · Mensaje por **Mayfill** » 23 Jul 2007, 19:00

Hola, aqui les posteo el log de elistara y elistrip

Sun Jul 22 13:29:26 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 22 13:31:36 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jul 23 11:47:53 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 23 11:50:18 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 23 11:51:58 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jul 23 12:37:37 2007

EliTriIP v3.77 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Jul 23 12:39:43 2007

EliTriIP v3.77 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jul 23 12:46:51 2007

EliTriIP v3.77 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mayfill · Mensaje por **Mayfill** » 23 Jul 2007, 19:05

Cuando escanee q salio el virus el AVG dijo q lo elimino, sera por eso q no sale nada en el elistra y elistrip? Tengo una pregunta, yo tengo el AVG, no surgen conflictos si instalo el Spybot? Gracias por la ayuda. :lol:

Mensaje por **lucl** » 23 Jul 2007, 20:10

Hola mayfill, pues igual si que te lo elimino del todo , no obstante si ves que te sale en la barra de herramientas un icono amarillo llamado system alert ojo al dato!! Y no , no son incompatibles, fijate que yo tengo el panda y el spybot y no me da problemas. :D saludos

Mensaje por **flacoroo** » 24 Jul 2007, 04:47

para que estes segura de que se elimino el virus....descarga este programa [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]HijackThis[/url] y pegas el log´s para checar tu compu...

Mensaje por **msc hotline sat** » 24 Jul 2007, 05:04

y complementa lo hecho con estos AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y nos comentas el resultado, gracias

saludos

ms, 24-07-2007

Mayfill · Mensaje por **Mayfill** » 24 Jul 2007, 20:15

Hola a todos: Aqui les dejo el log de Hkthis.Gracias

Logfile of HijackThis v1.99.1

Scan saved at 2:08:30 PM, on 7/24/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\SiteAdvisor\6066\SAService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\linda\LOCALS~1\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.pr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6066\SAService.exe

Mayfill · Mensaje por **Mayfill** » 24 Jul 2007, 20:24

Hola: Tgo una preg. Pq hay tantos de estos, antes habia 2 ahora hay 3.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.pr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Y pq dos de estos

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

como no se de esto quisiera saber, gracias

Mensaje por **msc hotline sat** » 24 Jul 2007, 20:56

A ver, la primera clave es la pagina de inicio, y la segunda y tercera no estan asignadas pero no son de pagina de inicio, y ademas entre ellas son distintas, una es la usuario en uso (CURRENT USER) y la otra es para para la maquina global, (LOCAL MACHINE), o sea las tres con distintas funciones, como tres claves del registro mas.

Y de SVCHOST ùede haber tantas como aplicaciones programadas haya, ya que es el lanzador de aplicaciones, siempre y cuando no se llame algo diferente o sea lanzado desde otra carpeta, pues en tal caso hay muchos malwares que intentan colar disimulando al respecto:

[quote]El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP

Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.

Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...

En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.

Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario

Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares. [/quote]

saludos

ms, 24-07-2007

Mayfill · Mensaje por **Mayfill** » 24 Jul 2007, 21:41

MCS: Gracias por la aclaracion. Todavia no me has dicho sobre el log del hkthis. Espero tu respuesta.

Y otra cosa en Virus Vault del AVG aparece el virus, le doy a eliminar?

Mensaje por **msc hotline sat** » 24 Jul 2007, 22:26

Sí, fue lo primero que miré y se me quedó en el portapapeles... está limpio.

y del fichero movido a cuarentena , mejor envianoslo para analizar, para salir de dudas:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-07-2007

Mayfill · Mensaje por **Mayfill** » 25 Jul 2007, 09:38

Hola MSC: Explicame bien como le hago para enviar la muestra, pues nunca lo he hecho. Gracias :cry:

Mensaje por **msc hotline sat** » 25 Jul 2007, 09:42

Lo empaquetas con WINRAR con password VIRUS (en opciones avanzadas) y lo envias en un mail con referencia "Mayfill" (tu nick en el foro) a zonavirus@satinfo.es y tras analizarlo, informaremos

saludos

ms, 25-07-2007

Mayfill · Mensaje por **Mayfill** » 26 Jul 2007, 16:35

hola: ok, se eso, pero no se a donde tengo q ir, y como hacerlo :oops: :cry:

Mensaje por **msc hotline sat** » 26 Jul 2007, 19:57

Pues te descargar el WINRAR de internet, lo instalas, miras como va, accedes a OPCIONES AVANZADAS y alli indicas empaquetar con password y como tal pones VIRUS

Y si tienes un amigo con ordenador, que te ayude, que siempre es mucho mejor verlo hacer a uno que ya tenga experiencia.

saludos

ms, 26-07-2007

Mayfill · Mensaje por **Mayfill** » 26 Jul 2007, 20:57

Hola: Te pregunto es ir al archivo darle properties, ir advanced, y seleccionar Compress contents to save disk space o Encrypt content to secure data. O es necesario bajar por obligacion WinRar de Internet?

Mensaje por **msc hotline sat** » 26 Jul 2007, 21:20

Por supuesto que debes usar un empaquetador, que permita poner password, y que yo sepa los mas usados son el WINZIP y el WINRAR. pero tal como te he dicho, habla con algun amigo experimentado y que elija el que quiera de los dos y te enseñe a menejarlo.

saludos

ms, 26-07-2007