KAPERSKY ONLINE DETECTO

[ramiroros]

me detecto lo siguiente

[size=150][b]KASPERSKY ONLINE SCANNER REPORT [/b][/size]

Saturday, January 05, 2008 3:35:07 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 5/01/2008

Kaspersky Anti-Virus database records: 502797





[b]Scan Settings [/b]

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true



[b]Scan Target My Computer [/b]

A:\

C:\

D:\



[b]Scan Statistics [/b]

Total number of scanned objects 42657

Number of viruses found 1

Number of infected objects 8

Number of suspicious objects 0

Duration of the scan process 01:56:04

[b]

Infected Object Name Virus Name Last Action [/b]

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked skipped



C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped



C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Temp\~DFD429.tmp Object is locked skipped



C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUPERANTISPYWARE.LOG Object is locked skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe NSIS: infected - 2 skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar RAR: infected - 3 skipped



C:\Documents and Settings\Administrador\ntuser.dat Object is locked skipped



C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped



C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped



C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped



C:\WINDOWS\Internet Logs\SANDO.ldb Object is locked skipped



C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped



C:\WINDOWS\Sti_Trace.log Object is locked skipped



C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\default Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\Internet.evt Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\software Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\system Object is locked skipped



C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ZLT06264.TMP Object is locked skipped



C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ZLT06288.TMP Object is locked skipped



C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped



C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped



C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked skipped



C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked skipped



C:\WINDOWS\system32\h323log.txt Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



C:\WINDOWS\wiadebug.log Object is locked skipped



C:\WINDOWS\wiaservc.log Object is locked skipped



C:\WINDOWS\WindowsUpdate.log Object is locked skipped

[msc hotline sat]

Pues envianos este fichero como muestra para analizar:



C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







Tras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



y si quieres, luego puedes eliminar estos, pues aunque no sean virus, son potencialmente peligrosos (utilizables remotamente por el hacker):


[quote]C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe NSIS: infected - 2 skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar RAR: infected - 3 skipped



C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped[/quote]

saludos



ms, 7-1-2008

[ramiroros]

ya envie el fichero

espero su respuesta

desde ya muchas graciasss

[msc hotline sat]

Mañana lo analizaremos, pero para ganar tiempo, subelo al VirusTotal:



https://www.virustotal.com/es/



y nos posteas el resultado, gracias



saludos



ms, 8-1-2008

[ramiroros]

Análisis del archivo wfpdisable.exe recibido el 09.01.2008 01:36:36 (CET)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.1.9.10 2008.01.08 -

AntiVir 7.6.0.46 2008.01.08 -

Authentium 4.93.8 2008.01.07 -

Avast 4.7.1098.0 2008.01.08 -

AVG 7.5.0.516 2008.01.08 -

BitDefender 7.2 2008.01.09 Application.VirTool.Wfpdisable.A

CAT-QuickHeal 9.00 2008.01.07 -

ClamAV 0.91.2 2008.01.08 -

DrWeb 4.44.0.09170 2008.01.08 Tool.WFPDisable

eSafe 7.0.15.0 2008.01.08 suspicious Trojan/Worm

eTrust-Vet 31.3.5443 2008.01.09 -

Ewido 4.0 2008.01.08 -

FileAdvisor 1 2008.01.09 -

Fortinet 3.14.0.0 2008.01.08 HackerTool/WFPDis

F-Prot 4.4.2.54 2008.01.08 W32/Wfpdisable.A

F-Secure 6.70.13030.0 2008.01.09 -

Ikarus T3.1.1.20 2008.01.09 not-a-virus:RiskTool.Win32.WFPDisabler.a

Kaspersky 7.0.0.125 2008.01.09 not-a-virus:RiskTool.Win32.WFPDisabler.a

McAfee 5202 2008.01.08 potentially unwanted program WFPDisable

Microsoft 1.3109 2008.01.08 -

NOD32v2 2775 2008.01.08 -

Norman 5.80.02 2008.01.08 -

Panda 9.0.0.4 2008.01.08 Application/FileProtec.B

Prevx1 V2 2008.01.09 -

Rising 20.26.12.00 2008.01.08 -

Sophos 4.24.0 2008.01.08 Troj/WFPDis-A

Sunbelt 2.2.907.0 2008.01.09 -

Symantec 10 2008.01.09 -

TheHacker 6.2.9.184 2008.01.08 -

VBA32 3.12.2.5 2008.01.07 -

VirusBuster 4.3.26:9 2008.01.08 -

Webwasher-Gateway 6.6.2 2008.01.08 Riskware.Tool.WFPDisabler.A

Información adicional

Tamano archivo: 16896 bytes

MD5: f98a6a75257e8cfb966b829dbfd68f40

SHA1: d1c456741d9eeb6e9511cbcd835b6ea211123fa8

PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

packers: UPX

packers: UPX

packers: PE_Patch.UPX, UPX

[msc hotline sat]

Pues parece que mas que virus es una utilidad potencialmente peligrosa, que pasaremos a controlar con las proximas versiones de nuestras utilidades (posiblemente ELISTARA) de lo cual informaremos



Si ya lo has eliminado como te suferíamos, ya nada tienes que temer al respecto.



saludos



ms, 9-1-2008

[msc hotline sat]

Analizado el fichero resulta ser un desprotector de proteccion de Windows, que pasamos a controlar y eliminar con la version de hoy del ELISTARA 15.40



a partir de las 19 H de esta tarde estará subida a esta web para evaluacion en este foro.



saludos



ms, 9-1-2008





NOTA:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

[ramiroros]

Wed Jan 09 21:49:07 2008

EliStartPage v15.40 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 09 21:58:54 2008

EliStartPage v15.40 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Super Turbo Tango Patcher\Tools\WFPDISABLE.EXE --> Eliminado, RiskTool.WFPDisabler



Nº Total de Directorios: 4626

Nº Total de Ficheros: 40607

Nº de Ficheros Analizados: 7817

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





tambien elimine los fichieros citados


[quote]C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Super Turbo Tango Patcher 7.08.2.exe NSIS: infected - 2 skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream/data0010 Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe/stream Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar/Super Turbo Tango Patcher 7.08.2.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped



C:\Documents and Settings\Administrador\Escritorio\XP con apariencia Ubuntu\Tango_Patcher_2600_7_08_2_by_vertigosity.rar RAR: infected - 3 skipped



C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe Infected: not-a-virus:RiskTool.Win32.WFPDisabler.a skipped[/quote]

[msc hotline sat]

Pues hubiera sido preferible que nos enviara el del mismo nombre (el último) para analizarlo en lugar de eliminarlo directamente, porque se debe tratar de una variante distinta de la que conocemos, al no haberlo eliminado la version 15.40 del ELISTARA



C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe



Inicialmente le indicamos eliminar el resto, pero es que no sabiamos que éste, del mismo nombre que el enviado, era distinto...



Si se guardó una copia o sabe donde conseguirlo, recuperelo y envienoslo, o indiquenos link de descarga, gracias



saludos



ms, 10-1-2008

[msc hotline sat]

Implementado el control y eliminacion de nueva variante WFPDisabler en el ELISTARA de hoy 16.75



Descargalo y tras probarlo nos cuentas el resultado




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 21-07-2008