Tenia rato que no encontraba problemas con virus, pero ahora he encontrado una portatil Compaq con XP SP1, la cual trae puesto el norton 2003, el cual ya esta caducado, asi que por medio de eso no puedo registrar toda la pc en busca de virus, de mientras he instalado el ad-aware, spybot s&d 1.3.1 TX y los he actualizado al dia 13/05/05 y 12/05/05 respectivamente, los cuales me detectaron cosas que he eliminado, el spybot detecto algunas claves del registro que no las pudo eliminar por estar ocupadas por el sistema, y eso que entre en modo seguro y deshabilitando restaurar sistema con su utileria, pero elimine esas claves a mano. Tras lo cual ya no me detecta nada ninguno de los dos programas. Tambien he corrido el s-t-i-n-g-e-r.
Ahora, tambien corri las utilerias antes de los antiespias: elistara y elitriip de su foro, con los siguientes resultados:
Sat May 21 13:33:50 2005
EliStartPage v7.7 (c)2005 S.G.H. / Satinfo S.L.
------------------------------------------------
Lista de Acciones:
C:\TEMP\SALM.EXE --> Eliminado 180Solutions
C:\WINDOWS\CJKZOHSZ.EXE --> Eliminado 180Solutions
Por favor, envienos una muestra del fichero
C:\DOCUME~1\BECKY\CONFIG~1\TEMP\SAIS.EXE.Muestra EliStartPage v7.7
a "
C:\ARCHIVOS DE PROGRAMA\180SOLUTIONS\SAIS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\BECKY\CONFIG~1\TEMP\POWERSCAN.EXE.Muestra EliStartPage v7.7
a "
C:\ARCHIVOS DE PROGRAMA\POWER SCAN\POWERSCAN.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\WINVBIE.DLL --> Eliminado ToolBar Visua
Entrada Eliminada [HKLM\...\Run] "SALM"="c:\temp\salm.exe"
Entrada Eliminada [HKLM\...\Run] "CJKZOHSZ"="C:\WINDOWS\cjkzohsz.exe"
Entrada Eliminada [HKLM\...\Run] "Internet Optimizer"=""C:\Program Files\Internet Optimizer\optimize.exe""
Entrada Eliminada [HKLM\...\Run] "Media Access"="C:\Program Files\Media Access\MediaAccK.exe"
Eliminada Class, BHO y ToolBar "{C4F147D7-BF25-488E-A12B-EFD43E7029BF}"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat May 21 13:36:17 2005
EliStartPage v7.7 (c)2005 S.G.H. / Satinfo S.L.
------------------------------------------------
Lista de Acciones:
C:\download\antiespias\spybot s&d\actualizaciones\spybotsd_advcheck.exe --> Eliminado, StatBlater dr
C:\download\antiespias\spybot s&d\actualizaciones\spybotsd_includes.exe --> Eliminado, StatBlater dr
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013990.exe --> Eliminado, 180Solutions
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013993.dll --> Eliminado, ToolBar Visua
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013994.exe --> Eliminado, StatBlater dr
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013995.exe --> Eliminado, StatBlater dr
C:\temp\salmhook.dll --> Eliminado, 180Solutions
Sat May 21 13:44:28 2005
EliTriIP v1.29 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
C:\WINDOWS\SYSTEM32\KLJPPHZ.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\SQRIHLO.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\BECKY\CONFIG~1\TEMP\MCAFEE32.EXE.Muestra EliTriIP v1.29
a "
C:\WINDOWS\SYSTEM32\MCAFEE32.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Cryptographic Service"="C:\WINDOWS\System32\sqrihlo.exe"
Entrada Eliminada [HKLM\...\Run] "System Update"="C:\WINDOWS\System32\kljpphz.exe"
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat May 21 13:47:31 2005
EliTriIP v1.29 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013996.exe --> Eliminado, Korgo.worm.S
C:\System Volume Information\_restore{2493AD3C-41FA-4E8D-BBEE-84E5B1F89257}\RP26\A0013997.exe --> Eliminado, Korgo.worm.V
C:\WINDOWS\system32\ftpupd.exe --> Eliminado, Korgo.worm.S
C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\MXK9MT0X\x[1].exe --> Eliminado, Korgo.worm.V
C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\MXK9MT0X\x[2].exe --> Eliminado, Korgo.worm.S
Por lo que voy a mandarles los archivos mencionados como muestras, pero tengo uno mas que aunque no lo detecta como peligroso, se me hace raro que este en la raiz el archivo wx.cab y dentro tenga un archivo llamado explorer.exe (pienso que tal vez esto lo haya sustituido por el original o que lo este vinculando a este y no al verdadero explorer), asi que pienso enviarlo tambien como muestra para su analisis.
Como comentario, veo que la utileria elistara elimino por error los archivos de actualizacion del spybot, creo que fue a la hora de correr para la revision de todo el sistema. Los cuales son marcados como: StatBlater dr
Pues bien, hasta ahora es lo que he logrado encontrar, tratare de instalar algun AV, o correr uno online, pero primero terminar con la mayoria de las amenazas y poner los parches que me mencionan para despues de terminar actualizar el sistema operativo. Pero los mantendre informados.
Como problemas que me quedan en la PC, veo que de repente cuando presiono la tecla shift pareciera que se quedara bloqueada y si trato de escribir es como si pusiera mayusculas, o si trato de seleccionar un archivo y luego otro, se seleccionan todos los que estan entre medio que es lo que hace cuando esta uno presionando shift pero no lo presiono sino que se queda asi, pudiera ser que el wx.cab sea el responsable de eso, pero aun no termino el analisis, tambien correre el hijackthis para ver que otra cosa se esta pasando por alto.
Un saludo para todos y espero respuesta para enviar las muestras. Y claro algun comentario o sugerencia de como solucionar el problema del shift es bienvenido.
Efrain Glez
msc hotline sat Virus Research Engineer