Problema troyano (SOLUCIONADO)

[crpfreeride]

Hola a todos. en primer lugar presentarme, pues soy nuevo en el foro. A continuación os explico. Mi antivirus Avast me ha detectado el troyano "BV:Qhost-C". El problema es que una vez eliminado si reinicio el pc vuelve a aparecer. ¿Cómo lo soluciono?. Gracias. También comentar que no sé si es el foro adecuado para éste tema si los moderadores lo consideran oportuno que lo cambien de foro. Saludos.

[msc hotline sat]

Es correcto tanto aqui como en el apartado de virus.

Prueba el ELISTARA, que controla muchas variantes de QHOST:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 29-10-2008

[crpfreeride]

Hola de nuevo. Pues he pasado el ELISTARA Y éste es el resultado. Pero el Avast me sigue detectando el troyano. ¿Que hago?. Saludos.

Wed Oct 29 14:00:32 2008
EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor Run y RunServices "LOGICAL VOLUME")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\slvhost.exe
a "virus@satinfo.es". Gracias.
C:\WINDOWS\ALCXMNTR.EXE --> Eliminado SpyRealtek
D:\DESKTOP.INI --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"

Wed Oct 29 14:18:37 2008
EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor Run y RunServices "LOGICAL VOLUME")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\slvhost.exe
a "virus@satinfo.es". Gracias.
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

Wed Oct 29 14:51:27 2008
EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\InstallShield\Professional\RunTime\0700\Intel32\IKERNEL.DLL --> Eliminado, MyWebSearch
C:\Archivos de programa\Mozilla Firefox\components\XPINSTAL.DLL --> Eliminado, MyWebSearch
C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek
C:\WINDOWS\AUTOCLK.EXE --> Eliminado, Autoclk
C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd
C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\ALCXMNTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 21827
Nº Total de Ficheros: 300894
Nº de Ficheros Analizados: 30968
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados: 6

[lucl]

Ademas de lo que ya te ha eliminado elistara tienes este otro para enviarnos





Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\slvhost.exe





buscalo , encriptalo y ponle de contraseña VIRUS. Para enviarlo tienes arriba a la derecha de la pagina el boton de envio muestras. Y actualiza tu pc pues te falta el sp3 y es muy importante, saludos

[crpfreeride]

Hola. Pues lo siento no soy muy experto en informática, pero dicho archivo no está en la carpeta "sustem32". El único archivo "slvhost.exe-OF56A669.pf" me aparece en c:\Windows\prefetch. El buscador no encuntra ningún otro "slvhost".

[msc hotline sat]

no es sustem32, sino system32 que cuelga de la de windows, en definitiva es la carpeta de sistema.

Pero puede estar oculto, configura tu windows para ver ficheros ocultos y de sistema:

http://www.zonavirus.com/articulos/como ... indows.asp

y de estar, está porque bien lo ha detectado el ELISTARA...

Si no lo ves, lanza un Inicio -> Buscar -> Todos los ficheros y carpetas -> slvhost.exe


saludos

ms, 29-10-2008

[crpfreeride]

Perdón ha sido un lapsus de teclado, he buscado en "system32", y he visualizado los archivos ocultos, pero no está. Saludos.

[crpfreeride]

Sorry, lo tengo.

[crpfreeride]

Ya lo he enviado a "envío de muestras", creo que lo he hecho bién, ¿es correcto?. Saludos.

[lucl]

Si lo encriptaste y le pusiste la contraseña no tiene porque estar mal, no obstante mañana te diran algo al respecto estate atento al post, saludos

[msc hotline sat]

Pues no se ha recibido nada tuyo en el correo de zonavirus@satinfo.es

Mira de empaquetarlo con password virus, sino puede ser interceptado por los antivirus de la Red.

Y una vez te asegures que lo has empaquetado con dicho password. repite el envio, gracias

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 30-10-2008

[crpfreeride]

Hola. A ver si ahora lo he enviado correctamente. Gracias.

[msc hotline sat]

Lo iré a buscar personalmente para acelerar el circuito normal de filtrado, reparticion y demas, luego te informo



-------



Ahora sí !!!



Lo he entrado en procesos, para monitorizar, lo que pasa es que hay cola, pero se procurará entrarlo esta misma tarde.



Paralelamente le echaré una mirada, ya que parece ser de aupa, y te adelantaré informacion. Lo que es seguro es que es malware, cuando no lo has podido enviar sin password, señal que era interceptado, asi que ya lo puedes renombrar a extension .VIR si aun no lo has hecho, y asi no será lanzado en proximos reinicios.



saludos



ms, 30-10-2008

[msc hotline sat]

Hemos empezado el control y eliminacion de esta muestra con el ELITRIIP.EXE de hoy 5.18, pruebalo y mañana terminaremos con el resto del proceso, pues crea un RootKit que hemos de ver si se regenera y en tal caso pulirlo con la 5.19, si es el caso:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y ademas comentanos el resultado, gracias

saludos

ms, 30-10-2008

[crpfreeride]

Hola. He pasado el "ELITRIIP", durante el proceso me ha dicho que había un virus imposible de eliminar, pero que se repararía al reiniciar el ordenador. Os pongo el resultado del "Infosat". Saludos.





Wed Oct 29 14:00:32 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOGICAL VOLUME")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\slvhost.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\ALCXMNTR.EXE --> Eliminado SpyRealtek

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"



Wed Oct 29 14:18:37 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOGICAL VOLUME")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\slvhost.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Oct 29 14:51:27 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\InstallShield\Professional\RunTime\0700\Intel32\IKERNEL.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Mozilla Firefox\components\XPINSTAL.DLL --> Eliminado, MyWebSearch

C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\AUTOCLK.EXE --> Eliminado, Autoclk

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\ALCXMNTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 21827

Nº Total de Ficheros: 300894

Nº de Ficheros Analizados: 30968

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Thu Oct 30 19:57:09 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Oct 30 19:57:32 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\everest ultimate edition.exe --> Eliminado, Bifrose(dropper)

C:\Archivos de programa\tuneup 2007\Keygen.exe --> Eliminado, KeyGen.Bublic

C:\Descargas Simuladores\rFactor.v1.020.CRACKED-ST0N3D.ShadowCast.OSiOLEK\Megane_Trophy_Setup_2.02_by_RSDG.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\system32\slvhost.VIR.exe --> Acceso Denegado, SdBot.HEQ (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\drivers\npf.sys --> Eliminado, NTRTKit



Nº Total de Directorios: 21835

Nº Total de Ficheros: 303925

Nº de Ficheros Analizados: 30796

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 4



Thu Oct 30 20:28:53 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\slvhost.VIR.exe.vir --> Acceso Denegado, SdBot.HEQ (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 21835

Nº Total de Ficheros: 304081

Nº de Ficheros Analizados: 30798

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

[lucl]

[quote="msc hotline sat"]Hemos empezado el control y eliminacion de esta muestra con el ELITRIIP.EXE de hoy 5.18, pruebalo y mañana terminaremos con el resto del proceso, pues crea un RootKit que hemos de ver si se regenera y en tal caso pulirlo con la 5.19, si es el caso:




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

y ademas comentanos el resultado, gracias



saludos



ms, 30-10-2008[/quote]

Pues ya Msc tomara cuenta de esto y mañana lo pulira como te dice en el mensaje anterior, saludos

[msc hotline sat]

Sí, estamos en ello... hoy seguiremos con la 5.19 . Pruebala esta tarde y ya nos contarás...



saludos



ms, 31-10-2008

[Pixx]

***Lo siento de veras, me confundi al escribir aqui. Si alguien puede borrar el mensaje le estoy agradecido. Gracias***

[msc hotline sat]

Monitorizando el fichero, aunque hayamos pulido detalles, vemos que la version de ayer lo tenía que poder eliminar, y si no lo hizo en su caso, creemos que pudiera ser por que tuviera el AVAST residente.



Desactivó el antivirus para examinar con el ELITRIIP su disco duro ???



Sino, pruebelo desactivandolo, ya que pudiera ser que dicho antivirus impidiera eliminarlo.



Si el ELITRIIP ni con el antivirus desactivado pudiera, como que el malware está en la carpeta de sistema, lo haríamos arrancando en consola de recuperacion, pero ya hablaremos de ello si fuera el caso.



Informenos del resultado, gracias



saludos



ms, 31-10-2008

[crpfreeride]

Hola. Bueno ya he pasado la versión 5.19. ¿Qué tal lo veis?. Saludos





Wed Oct 29 14:00:32 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOGICAL VOLUME")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\slvhost.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\ALCXMNTR.EXE --> Eliminado SpyRealtek

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"



Wed Oct 29 14:18:37 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOGICAL VOLUME")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\slvhost.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Oct 29 14:51:27 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\InstallShield\Professional\RunTime\0700\Intel32\IKERNEL.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Mozilla Firefox\components\XPINSTAL.DLL --> Eliminado, MyWebSearch

C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\AUTOCLK.EXE --> Eliminado, Autoclk

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\ALCXMNTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 21827

Nº Total de Ficheros: 300894

Nº de Ficheros Analizados: 30968

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Thu Oct 30 19:57:09 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Oct 30 19:57:32 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\everest ultimate edition.exe --> Eliminado, Bifrose(dropper)

C:\Archivos de programa\tuneup 2007\Keygen.exe --> Eliminado, KeyGen.Bublic

C:\Descargas Simuladores\rFactor.v1.020.CRACKED-ST0N3D.ShadowCast.OSiOLEK\Megane_Trophy_Setup_2.02_by_RSDG.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\system32\slvhost.VIR.exe --> Acceso Denegado, SdBot.HEQ (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\drivers\npf.sys --> Eliminado, NTRTKit



Nº Total de Directorios: 21835

Nº Total de Ficheros: 303925

Nº de Ficheros Analizados: 30796

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 4



Thu Oct 30 20:28:53 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\slvhost.VIR.exe.vir --> Acceso Denegado, SdBot.HEQ (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 21835

Nº Total de Ficheros: 304081

Nº de Ficheros Analizados: 30798

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Thu Oct 30 21:18:01 2008

EliTriIP v5.18 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Oct 31 20:45:15 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Oct 31 20:45:22 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\slvhost.VIR.exe.vir.vir --> Eliminado, SdBot.HEQ



Nº Total de Directorios: 21829

Nº Total de Ficheros: 307842

Nº de Ficheros Analizados: 31116

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[lucl]

Esta eliminado ahora dinos si ya va bien tu pc para dar por solucionado el tema, saludos

[crpfreeride]

Hola. Sí, en principio funciona correctamente. Muchísimas gracias por solucionármelo. Saludos.

[lucl]

Gracias a ti por avisar, pasamos entonces a cerrar el tema dandolo por solucionado, cualquier cosa ya sabes donde estamos saludos