TROYANOS (SOLUCIONADO)

[nacamar]

Ufff, esto es increible! ... no hace ni 3 dias os estaba agradeciendo vuestra magnifica ayuda y ya vuelvo a tener problemas.



En fin, os cuento y a ver si, una vez más conseguís ayudarme tan bien como siempre: Esta vez no hace nada raro el pc, simplemente que tengo 2 visitantes que me ha detectado el antivirus (nod32) y que no me dá opción de desinfectar, sino de eliminar el archivo infectado ó cambiarle el nombre.... como nunca lo he hecho por no saber y por miedo a eliminar un archivo, pues es éstas me encuentro.



He aqui las 2 joyitas detectadas en archivos:





- c:/windows\system32\ritz8.dll (éste archivo está infectado por "Variante modificada de win32/spy.ambler.a" (troyano)



- El otro, no recuerdo que archivo me tiene infectado, el bicho es: "JS/Troyandownloader.Istbar "



Por si os sirve de ayuda, me bajé de vuestra zona de descargas (para probar y ver si conseguia arreglar el tema) el programa anti-troyanos "Ewido Security Suite 3.5" y ni siquiera me lo detectaba.





Que hago??



Mil gracias x adelantado ;)

[msc hotline sat]

Pues envianos los ficheros como muestra para analizar e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-11-2008





NOTA: Pero antes, prueba el ELISTARA, claro:








[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[nacamar]

Acabo de descargarme Elistara, lo he pasado y reiniciado el pc. Esto es lo que sale en el archivo infosat ; quedo a la espera de que me conteis que veis y qué hago. Gracias!!! ;)







Fri Nov 14 11:35:04 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\BLUETOOTH\LBTWLGN.DLL

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Nov 14 11:37:03 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3664

Nº Total de Ficheros: 36506

Nº de Ficheros Analizados: 12869

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:43:48 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 255

Nº Total de Ficheros: 2187

Nº de Ficheros Analizados: 14

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:44:05 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 685

Nº Total de Ficheros: 36610

Nº de Ficheros Analizados: 7033

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:50:49 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Nov 14 11:50:56 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3664

Nº Total de Ficheros: 36513

Nº de Ficheros Analizados: 11783

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:58:54 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 255

Nº Total de Ficheros: 2187

Nº de Ficheros Analizados: 118

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:59:12 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 685

Nº Total de Ficheros: 36610

Nº de Ficheros Analizados: 6102

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 17 16:31:30 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Nov 17 16:31:45 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3672

Nº Total de Ficheros: 36390

Nº de Ficheros Analizados: 12896

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Confirmanos que enviaste los archivos para analizarlos, saludos

[nacamar]

Ok! Os acabo de enviar el archivo comprimido del archivo infectado (ritz8.dll); el otro no consigo encontrarlo!!!. Tengo el nombre del troyano pero no del archivo infectado; pasaré de nuevo del nod32 a todo el pc y en cuanto dé con el, os lo envio :)

[lucl]

Ok, pero fijate bien, igual es el elistara que suele dar como falso positivo, te lo digo porque el otro que te localizan es un itsbar no? Si fuese asi no te preocupes y mirate este link, y en cuanto al envio no se si les dara tiempo a monitorizarlo hoy pero por si acaso asomate luego por la tarde al foro, saludos



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228

[nacamar]

Gracias por la recomendación ;) , de hecho, he pasado mi antivirus nod32, que fué el que me lo detectó anteriormente y no lo ha encontrado ahora, por tanto solamente el que os he enviado.



Gracias de nuevo, quedo a la espera del analisis de la muestra ;)

[msc hotline sat]

Recibida la muestra enviada, ha resultado ser nueva variante de malware que pasamos a controlar y eliminar con la version 17.44 del ELISTARA de hoy



Tras probarlo, posteenos el informe resultante, gracias



saludos



ms, 18-11-2008

[nacamar]

He descargado la nueva versión de Elistara, la he pasado y aqui os posteo el Infosat.txt. Creo que ha eliminado el troyano!!!. De todas formas quedo a la espera por si tengo que hacer alguna cosa más. Mil gracias!!! ;)







Fri Nov 14 11:35:04 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\BLUETOOTH\LBTWLGN.DLL

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Nov 14 11:37:03 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3664

Nº Total de Ficheros: 36506

Nº de Ficheros Analizados: 12869

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:43:48 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 255

Nº Total de Ficheros: 2187

Nº de Ficheros Analizados: 14

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:44:05 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 685

Nº Total de Ficheros: 36610

Nº de Ficheros Analizados: 7033

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:50:49 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Nov 14 11:50:56 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3664

Nº Total de Ficheros: 36513

Nº de Ficheros Analizados: 11783

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:58:54 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 255

Nº Total de Ficheros: 2187

Nº de Ficheros Analizados: 118

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 11:59:12 2008

EliTriIP v5.24 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 685

Nº Total de Ficheros: 36610

Nº de Ficheros Analizados: 6102

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 17 16:31:30 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Nov 17 16:31:45 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3672

Nº Total de Ficheros: 36390

Nº de Ficheros Analizados: 12896

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Nov 18 18:52:03 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Nov 18 18:52:06 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\RITZ8.DLL --> Eliminado, DownLoader.BHO.ON



Nº Total de Directorios: 3676

Nº Total de Ficheros: 36812

Nº de Ficheros Analizados: 13206

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Efectivamente, de esto se trataba:



EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\RITZ8.DLL --> Eliminado, DownLoader.BHO.ON



y ya solucionado el problema, procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 18-11-2008