creo que es un nuevo virus

[pinchovit]

a traves de msn me llegó un .zip que rechazé inmediatamente aun asi se instaló en el registro , en el run de HKLM y elimino el valor y lo sako del inicio del msconfig, pasé el bit defender , el kaspersky, el clean virus msn, el taringa y ya no se que hacer mas, el valor es el siguiente C:\WINDOWS\system32\bokazoor.exe si alguien me puede decir que puedo hacer se lo agradecere.

[msc hotline sat]

Pues envienos este fichero C:\WINDOWS\system32\bokazoor.exe para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



ras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-07-2008

[msc hotline sat]

Pues pasadas las 13 horas del mediodia del lunes aun no hemos recibido la muestra solicitada...



Sin ella nada podemos hacer al respecto.



Si ya la has enviado, revisa como y a donde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y si no lo has enviado aun... , hazlo ya ! :wink:



saludos



ms, 14-07-2008

[msc hotline sat]

En un privado de pinchovit recibimos:


[quote]
he pasado el kasper en modo seguro y el archivo ejecutable ya no esta en la carpeta pero el valor sigue en el run del hklm y cuando pincho en msconfig sigue pinchado en inicio ¿significa eso que aun esta el ejecutable en mi pc ?
[/quote]
En primer lugar, se recuerda que : https://foros.zonavirus.com/viewtopic.php?f=1&t=528



Y aclaramos: La eliminacion de un fichero malware no conlleva su desinstalacion del registro y demas, ello se hace con las aplicaciojnes desde Panle de control -> Agregar o Quitar programas



Si se quiere hacer a mano, de ha de eliminar el fichero y eliminar las claves de carga.



Posiblemente el Bit Defender o el que fuera, lo limpió a medias, eliminó el fichero pero no laa claves.



Sin poder ver lo que hace el fichero, por falta del fichero muestra, es un mal plan implementar el control y eliminacion del malware en nuestras utilidades, por lo que si no tiene posibilidad de enviarnoslo, elimine a mano su carga del inicio y de las claves donde se lanzara, si bien no sabemos donde mas puede haber toqueteado el virus, hecho copia o preparado payloads...



saludos



ms, 14-07-2008

[pinchovit]

bueno despues de hacer de todo no he podido sakarlo pq no encuentro los archivos por ningun lado, le pase el kasper en modo seguro y parece que lo elimino pq despues al pasarlo en modo normal no lo detecto, pero cuando reinicie mi ordenador el kasper lo detecto (dio un grito como de pelicula de terror) y lo puse en cuarentena y asi lo hago cada vez que me conecto, ah y no me da opcion de restaurar sistema a otra fecha que no sea la hora y dia en que intento hacerlo, mi pregunta es : si sigo asi poniendolo en cuarentena que riesgo corro?

[msc hotline sat]

Hay que analizarlo para saberlo...



Dices que te lo pone en cuarentena, pues envianoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y en cuanto lo recibamos, informaremos



saludos



ms, 15-07-2007

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

No creo que lo conozcamos... Este grito de terror no me suena, pero puede ser alguna variante de las que dichas utilidades pidan muestra para analizar... así que tras probarlas, posteanos el contenido de c:\infosat.txt



saludos



ms, 15-07-2008

[pinchovit]

Sun Jul 13 19:20:39 2008

EliBagle v11.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Jul 13 19:21:01 2008

EliBagle v11.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6471

Nº Total de Ficheros: 67202

Nº de Ficheros Analizados: 8133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 17 17:48:43 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 17 17:50:58 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6235

Nº Total de Ficheros: 63588

Nº de Ficheros Analizados: 14429

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 17 18:25:18 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6238

Nº Total de Ficheros: 63679

Nº de Ficheros Analizados: 14436

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 17 18:33:36 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Jul 17 18:33:48 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6239

Nº Total de Ficheros: 63850

Nº de Ficheros Analizados: 13302

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues como parecía no es conocido por estas utilidades, pero ha servido para ver que te falta instalar el SP3, asi que lanza un windowsupdate e instalalo, y cuando tengas muestra para analizar del sospechoso, indicanoslo y nos la envias para proceder a ello



saludos



ms, 17-07-2008

[pinchovit]

reholas, al final creo que ya he conseguido controlarlo pq como dije la vez anterior el kasper saltaba cada vez que iniciaba sesion pero definitivamente lo que hice fue deshabilitar la restauracion del sistema, borrar el valor del run del hklm, deshabilitar desde el inicio y finalmente sakarlo de las tareas programadas reiniciar y listo ( al menos por el momento), si hubiera alguna novedad os ire informando , muchas gracias por vuestra ayuda.

[msc hotline sat]

Pues el fichero que lanzaba la clave que has eliminado, envianoslo para analizar e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-07-2008

[pinchovit]

puedo mandar algo en formato imagen? pq es lo unico que tengo

[msc hotline sat]

Poder puedes, pero me temo que de poco o nada nos va a servir :?



De todas formas si crees que en dicha imgane nos da informacion de interés, anexala a tu proximo post de respuesta a este Tema...



saludos



ms, 25-07-2008