Variante modificada de Win32/Rodecap.AA (Troyano).

okram · Mensaje por **okram** » 24 Feb 2010, 12:42

Buenos días desde hace unos días ,mi antivirus NOD32 detecta una amenaza refernte a El archivo c:\windows\system\rsvp.exe está infectado con Variante modificada de Win32/Rodecap.AA (Troyano).

Son varios archivos infectados, procedo a pasarlos a cuarentena, pero al reiniciar vuelve a detectar la misma amenaza, no consigo eliminarla.

Gracias de antemano.

Mensaje por **msc hotline sat** » 24 Feb 2010, 15:01

Pues envianos dicho fichero para analizar:

c:\windows\system\rsvp.exe

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-2-2010

Mensaje por **msc hotline sat** » 24 Feb 2010, 15:12

Tras buscar mas informacion al respecto ... :

De todas formas, el windows tiene un fichero que se llama así, y lo regenera si lo borras, gracias al dllcache.

Podría ser el caso de que tu antivirus tuviera un falso positivo y aunque lo eliminara, se regenerara por lo indicado.

http://www.google.es/url?sa=t&source=web&ct=res&cd=1&ved=0CAYQFjAA&url=http%3A%2F%2Fwww.processlibrary.com%2Fes%2Fdirectory%2Ffiles%2Frsvp%2F&ei=STOFS66xLYf34gaXuLWFAg&usg=AFQjCNGHr8BnhDMmSNOh4pxHOUTOrIT70w

Pero cuando recibamos dicho fichero lo veremos e informaremos

saludos

ms, 24-2-2010

okram · Mensaje por **okram** » 27 Feb 2010, 11:46

Seguimos igual, he seguido los pasos y nada salta de nuevo la amenaza al reiniciar el pc...

c:\docume~1\user\datosd~1\micros~1\comrepl.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\system\mqtgsvc.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\docume~1\user\datosd~1\micros~1\sessmgr.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\system\cisvc.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\system\rsvp.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\system32\drivers\mstinit.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\system\mstsc.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\docume~1\user\datosd~1\logman.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\rsvp.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\docume~1\user\datosd~1\dllhst3g.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

c:\windows\comrepl.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

C:\DOCUME~1\user\DATOSD~1\MICROS~1\sessmgr.exe - Variante modificada de Win32/Rodecap.AA (Troyano)

Mensaje por **msc hotline sat** » 27 Feb 2010, 12:36

Entonces no es un solo fichero... envianos los que indicas que ha detectado y tras analizarlo, informaremos

saludos

ms, 27-2-2010

Mensaje por **msc hotline sat** » 27 Feb 2010, 12:54

Al respecto vemos este analisis con VirusTotal:

Fichier mqtgsvc.exe reçu le 2010.02.27 01:08:59 (UTC)

Situation actuelle: terminé

Résultat: 21/41 (51.22%)

Formaté Impression des résultats Antivirus Version Dernière mise à jour

Résultat

a-squared 4.5.0.50 2010.02.27 Trojan.Win32.Cosmu!IK

AhnLab-V3 5.0.0.2 2010.02.26 -

AntiVir 8.2.1.176 2010.02.26 TR/Downloader.Gen

Antiy-AVL 2.0.3.7 2010.02.26 -

Authentium 5.2.0.5 2010.02.26 W32/Horst.C.gen!Eldorado

Avast 4.8.1351.0 2010.02.26 -

AVG 9.0.0.730 2010.02.26 -

BitDefender 7.2 2010.02.26 -

CAT-QuickHeal 10.00 2010.02.26 -

ClamAV 0.96.0.0-git 2010.02.26 -

Comodo 4077 2010.02.27 -

DrWeb 5.0.1.12222 2010.02.26 -

eSafe 7.0.17.0 2010.02.25 -

eTrust-Vet 35.2.7331 2010.02.26 Win32/Alureon.AOO

F-Prot 4.5.1.85 2010.02.26 W32/Horst.C.gen!Eldorado

F-Secure 9.0.15370.0 2010.02.27 Trojan:W32/Cosmu.gen!A

Fortinet 4.0.14.0 2010.02.26 -

GData 19 2010.02.26 -

Ikarus T3.1.1.80.0 2010.02.26 Trojan.Win32.Cosmu

Jiangmin 13.0.900 2010.02.25 -

K7AntiVirus 7.10.984 2010.02.26 -

Kaspersky 7.0.0.125 2010.02.27 -

McAfee 5904 2010.02.26 Downloader-BOW

McAfee+Artemis 5904 2010.02.26 Downloader-BOW

McAfee-GW-Edition 6.8.5 2010.02.26 Heuristic.BehavesLike.Win32.Downloader.H

Microsoft 1.5502 2010.02.26 Trojan:Win32/Rodecap.A

~~[b]~~NOD32 4899 2010.02.26 a variant of Win32/Rodecap.AA [/b]

Norman 6.04.08 2010.02.26 W32/Malware

nProtect 2009.1.8.0 2010.02.26 -

Panda 10.0.2.2 2010.02.26 Trj/Genetic.gen

PCTools 7.0.3.5 2010.02.26 -

Prevx 3.0 2010.02.27 High Risk Fraudulent Security Program

Rising 22.36.04.04 2010.02.26 Trojan.DL.Win32.Downloader.GEN

Sophos 4.50.0 2010.02.27 -

Sunbelt 5701 2010.02.26 BehavesLike.Win32.Malware (v)

Symantec 20091.2.0.41 2010.02.27 Suspicious.Insight

TheHacker 6.5.1.6.213 2010.02.26 Trojan/Downloader.gen

TrendMicro 9.120.0.1004 2010.02.26 -

VBA32 3.12.12.2 2010.02.26 suspected of Win32.Trojan.Downloader (http://...)

ViRobot 2010.2.26.2204 2010.02.26 -

VirusBuster 5.0.27.0 2010.02.26 Trojan.Cosmu.Gen

Information additionnelle

File size: 94208 bytes

MD5 : 63f6bc877f2c84aa456fba15aebe6aa9

SHA1 : 784f86510beb5fd105e22382480b4bb6aaf37a50

Parece que se trata de un Downloader segun indican 7 antivirus, del 51,22 % que lo detectan, notando que AVAST, AVG, Bit Defender, Dr Web, Fortinet, Kaspersky, Sophos, y Trend, por citar algunos conocidos, aun no lo detectan.

Tras enviarnos las muestras indicadas, puedes probar de eliminar los ficheros infectados con nuestro ELIMD5.EXE, indicandole cualquiera de los dos hashes que aparecen al final del informe, por ejemplo este mas corto:

63f6bc877f2c84aa456fba15aebe6aa9

ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp

saludos

ms, 27-2-2010

Variante modificada de Win32/Rodecap.AA (Troyano).

Variante modificada de Win32/Rodecap.AA (Troyano).

Re: Variante modificada de Win32/Rodecap.AA (Troyano).

Re: Variante modificada de Win32/Rodecap.AA (Troyano).

Re: Variante modificada de Win32/Rodecap.AA (Troyano).

Re: Variante modificada de Win32/Rodecap.AA (Troyano).

Re: Variante modificada de Win32/Rodecap.AA (Troyano).