SpyArsenalLog (SOLUCIONADO)

NTL · Mensaje por **NTL** » 15 Sep 2007, 18:56

Hola!

El Arovax me ha detectado hoy un Spyware.SpyArsenalLog en la carpeta:

C:\WINDOWS\system32\CatRoot2\tmp.edb

La fecha de creación es de hoy.

He probado el Virus Total pero me dice que es un archivo vacío, el Elistara y el Elitriip no me detectan nada.

NTL · Mensaje por **NTL** » 15 Sep 2007, 19:15

He reiniciado el ordenador y el Arovax ya no me lo detectaba porque el archivo había desaparecido :shock: Pero al rato ha vuelto a aparecer.

Mensaje por **msc hotline sat** » 15 Sep 2007, 19:33

No has podidio enviarlo a http://www.virustotal.com por haberlo impedido tu antivirus, desactivalo para hacerlo o arranca en modo seguro con funciones de red para que no esté activo.

Del mismo modo puedes anviarnoslo para su analisis y control:

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 15-09-2007

NTL · Mensaje por **NTL** » 15 Sep 2007, 19:39

He desactivado el Análisis en tiempo real de mi antivirus pero tampoco me lo envía. ¿Puedo enviároslo a vosotros así? ¿O tengo que iniciar en modo seguro? Es que nunca lo he hecho y no sé cómo va.

NTL · Mensaje por **NTL** » 15 Sep 2007, 19:40

Por cierto, que si le doy con el botón derecho al archivo para analizarlo con el antivirus me dice: Objetos analizados: 0

Es como si fuese "invisible"

NTL · Mensaje por **NTL** » 15 Sep 2007, 19:51

Acabo de probar a iniciar en modo seguro con funciones de red, pero no me deja meterme en Internet, así que voy a intentar mandárselo desactivando el antivirus, aunque ahora ha vuelto a desaparecer.

NTL · Mensaje por **NTL** » 15 Sep 2007, 19:55

Intento añadirlo a un .rar para enviarlo pero me dice:

El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso

¿Lo puedo enviar sin estar comprimido?

Mensaje por **msc hotline sat** » 15 Sep 2007, 20:06

Porque debe estar el fichero en uso...

Primero arranca en modo seguro, y empaquetas los ficheros a enviar en un ZIP o RAR con password VIRUS.

Tras ello arranca para contectarte a internet y nos envias dicho fichero, anexandolo a un mail dirigido a zonavirus@satinfo.es e indicando como referencia tu nick en el foro.

saludos

ms, 15-09-2007

NTL · Mensaje por **NTL** » 15 Sep 2007, 20:21

He arrancado en modo seguro y he probado a empaquetarlo, pero después de esperar 7 minutos el archivo no ha aparecido. He observado que hay otros dos archivos, el edb (texto) y el edb.chk que se modifican al mismo tiempo que aparece el tmp.edb, así que le mando esos dos por si acaso.

Mensaje por **msc hotline sat** » 15 Sep 2007, 20:28

Bien , mañana los veremos, mientras, sin empaquetar con password, subalos al virustotal y nos informa del resultado, gracias

saludos

ms, 15-09-2007

NTL · Mensaje por **NTL** » 15 Sep 2007, 20:42

Al subirlos a VirusTotal, el edb me dice que está vacío, y el edb.chk me lo analiza y no me detecta nada. Gracias por todo.

Mensaje por **msc hotline sat** » 15 Sep 2007, 20:47

"el edb me dice que está vacío"

Mira dicho fichero, si tiene tamaño y cual, y si abriendolo con el bloc de Notas, se ve algo, o realmente no hay nada.

saludos

ms, 15-09-2007

NTL · Mensaje por **NTL** » 15 Sep 2007, 20:51

Ocupa 128 K, pero al abrirlo con el bloc de notas me dice que el proceso no se puede abrir porque está siendo utilizado.

Y dice que al pasar el Elileslie se renombra a .vir

Mensaje por **msc hotline sat** » 15 Sep 2007, 21:00

BIen, pues reinicia una vez renombrado y asi no estará en uso, y entonces prueba de subirlo al VirusTotal y si lo encuentran malware, envianoslo.

saludos

ms, 15-09-2007

NTL · Mensaje por **NTL** » 15 Sep 2007, 21:05

¿Tengo que pasar el Elilesli o simplemente renombro?

Mensaje por **msc hotline sat** » 15 Sep 2007, 21:17

Pasale dicha utilidad, a ver si fuera el caso que con ello lo solucionaramos, y sino, volviendo a renombrar los ficheros los dejariamos como estaban...

saludos

ms, 15-09-2007

NTL · Mensaje por **NTL** » 16 Sep 2007, 11:40

Perdón por el retraso, ayer tuve que irme. Acabo de pasar el Elilesli. Al abrirlo me decía que tenía un gusano y que reiniciase. He reiniciado, he pasado el Elilesli pero no ha encontrado nada. El log es este:

Sun Sep 16 11:24:28 2007

EliLeslie v1.0 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB --> Renombrado a .VIR

Sun Sep 16 11:24:33 2007

EliLeslie v1.0 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 16 11:30:34 2007

EliLeslie v1.0 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Sep 16 11:31:13 2007

EliLeslie v1.0 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

He hablado con otra persona y dice que él también tiene el tmp.edb y que no le da problemas, así que empiezo a pensar que si será algún falso positivo. He probado ha renombrarlo manualmente pero me dice que está en uso. ¿Qué más puedo hacer?

Mensaje por **msc hotline sat** » 16 Sep 2007, 11:48

Supongo que ahora tendrás C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB.VIR, pues subelo al VirusTotal y nos cuentas si lo detectan o no como malware, gracias

saludos

ms, 16-09-2007

NTL · Mensaje por **NTL** » 16 Sep 2007, 13:01

Se me olvidó comentarlo. Aunque en teoría lo renombró, el archivo seguía siendo tmp.edb, no tmp.edb.vir, y al reiniciar desapareció y luego, como siempre, volvió a aparecer.

Mensaje por **msc hotline sat** » 16 Sep 2007, 13:14

Entonces es que se regeneró...

Mira si puedes subirlo al VirusTotal o enviarnoslo, desactivando los antivirus.

saludos

ms, 16-09-2007

NTL · Mensaje por **NTL** » 16 Sep 2007, 13:17

No puedo subirlo al VirusTotal porque está "vacío" y tampoco puedo enviarlo porque no me deja meterlo en un .rar.

De todas formas, he encontrado esto en el foro de ayuda de Arovax:

Un usuario dice:

Hello!

After the last update "mini keylogger" does not appear any more in my scream after I scan my PC with Arovax.

However there is a new spy (i have already posted a thread) called "SpyArsenalLog" detected by Arovax, that cannt be removed.

Thank you for your assistence.

Y el que controla el foro responde:

I'm seeing this pattern of fixing one FP and seeing another too often. You may, again, post your scan log here and don't do anything else if no other antispyware softwares are detecting this "threat". You may use jotti and/or Virus Total to see if any other softwares are detecting this.

Thank you.

Mensaje por **msc hotline sat** » 16 Sep 2007, 13:41

Buscando explicación al respecto, entiendo que es un temporal que se crea en algun proceso y que coincide con la cadena de búsqueda del AROVAX y del ELILESLIE, sin que tenga mas importancia.

Tmp.edb - This is a temporary workspace for processing transactions. Tmp.edb contains temporary information that is deleted when all stores in the storage group are dismounted or the Exchange Information Store service is stopped.

Olvidalo, que no tiene mas importancia

y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos
ms, 16-09-2007