Runtime error 5 at 0040615E - Ventanitas molestosas

[DAVICO]

Hola el problema que me sucede es que puse de un cliente su memoria USB a la maquina y me copio unas ventanitas que se reprocucen automaticamente y dice:



[b]Error:

Runtime error 5 at 0040615E[/b]



Intente pasar el Elistara pero se queda truncado no me da, tuve el Bitdefender instalado en esta PC tambien tenia el virus por lo que se pasa entre messengers, estoy intentando pasar por red con el kaspersky 7 compartiendo los discos a modo completo pero asi no me borra un virus que dice que es oso.exe alguna solucion mas que todo en primer lugar matar esas ventanitas que son molestosos para mi y me hace la computadora lenta....

[msc hotline sat]

De entrada vacuna el ordenador y los pendrives con el ELIPEN, que si lo hubieras hecho antes, ya no te habria pasado lo que dices ... :wink:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 7-10-2008

[DAVICO]

Sun Sep 07 19:27:29 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Sun Sep 07 21:18:31 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



Tue Sep 09 09:05:00 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Sep 11 10:23:12 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Thu Sep 18 09:21:26 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Sep 18 15:30:37 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:31:23 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:36:11 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:36:45 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:37:13 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:37:22 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Thu Sep 18 15:37:37 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 01 16:29:27 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Oct 02 18:39:16 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Sun Oct 05 18:33:38 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CRYPT] -> C:\WINDOWS\SYSTEM32\CRYPTS.DLL

(Valor Run y RunServices "WINDOWS SERVICE AGENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\agl23.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FXSTALLER.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\CRYPTS.DLL --> DownLoader.Crypts Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Center"="fxstaller.exe"



Sun Oct 05 18:34:16 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WINDOWS SERVICE AGENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\agl23.exe

a "virus@satinfo.es". Gracias.



Tue Oct 07 09:08:54 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\SHELLRUN.EXE

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Tue Oct 07 12:20:06 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida

[lucl]

Enviaste esto que te pidio elistara del dia 3 de octubre¿





Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\agl23.exe



Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliStartPage v17.11





Si no lo hiciste hazlo te dejo link de modo de envio





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Ademas te recomiendo que bajes elistara de nuevo y lo pases puesto que ya esta actualizado a fecha de hoy y nos pegas el infosat



http://www.zonavirus.com/descargas/elistara.asp

saludos

[msc hotline sat]

Y un par de cosas mas:



Mientras recibimos y analizamos los ficheros que nos envias, como que este AGL23.EXE se ha detectado por regla heuristica y no se ha eliminado ni movido a cuarentena, solo pedido muestra para analizar, he buscado informacion al respecto y he confirmado la sospecha, por lo que conviene que renombres su extension a .VIR para que, tras reiniciar, ya no se ponga en marcha de nuevo



descripcion :


[quote="Sophos"]W32/Rbot-GQU

Aliases Backdoor.Win32.Rbot.gen

Generic.acg



Category Viruses and Spyware



Type Worm



What to do If you've received an alert for a virus or spyware, then follow the instructions for removing the threat.



Prevalence low high





Summary

Summary Action More Information



How it spreads Network shares



Affected operating systems Windows

Characteristics Installs itself in the registry



Included in our products from July 2007 (4.19)

Protection available since 31 May 2007 22:16:41 (GMT)

Detected by All Sophos products



Action

Summary Action More Information

Please follow the instructions for removing worms.



More Information

Summary Action More Information

W32/Rbot-GQU is a worm with IRC backdoor functionality for the Windows platform.



W32/Rbot-GQU spreads to other network computers by exploiting common buffer overflow vulnerabilities, including: ASN.1 (MS04-007), RealVNC (CVE-2006-2369) and Symantec (SYM06-010) and by copying itself to network shares protected by weak passwords.



W32/Rbot-GQU runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer via IRC channels.



When first run W32/Rbot-GQU copies itself to <System>\agl23.exe.



The following registry entries are created to run agl23.exe on startup:



HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Windows Service Agent

agl23.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Service Agent

agl23.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Windows Service Agent

agl23.exe [/quote]

Por supuesto que con nuestras utilidades de hoy lo controlaremos (probablemente con el ELITRIIP al ser un IRCBOT), de lo cual informaremos



Y por otro lado vemos que casi al final el infosat dice:



Sun Sep 07 19:27:29 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Sun Sep 07 21:18:31 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



Tue Sep 09 09:05:00 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Sep 11 10:23:12 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Thu Sep 18 09:21:26 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Sep 18 15:30:37 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:31:23 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:36:11 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:36:45 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:37:13 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 15:37:22 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Thu Sep 18 15:37:37 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 01 16:29:27 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Oct 02 18:39:16 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Sun Oct 05 18:33:38 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CRYPT] -> C:\WINDOWS\SYSTEM32\CRYPTS.DLL

(Valor Run y RunServices "WINDOWS SERVICE AGENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\agl23.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FXSTALLER.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\CRYPTS.DLL --> DownLoader.Crypts Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Center"="fxstaller.exe"



Sun Oct 05 18:34:16 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WINDOWS SERVICE AGENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\agl23.exe

a "virus@satinfo.es". Gracias.


[quote]Tue Oct 07 09:08:54 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\SHELLRUN.EXE

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida [/quote]



Pues ahi tenemos otro sospechoso, envianos este AUTORUN que ahora será AUTORUN.OLD , y el SHELLRUN.EXE que lanzaba, para pasar a controlarlo, aunque ya de entrada no siga propagando al no tener extension INF, pero el virus sigue estando dentro de esta unidad F: (supongo que es un pendrive)



saludos



ms, 8-10-2008

[msc hotline sat]

Recibido muestra solo de FXSTALLER.EXE, se implementa su control y eliminacion en el ELISTARA de hoy 17.13, que estará disponible en esta web, para evaluacion, a partir de las 19 h GMT



Tras probarlo, posteenos el infosat.txt, gracias



saludos



ms, 8-10-2008