Hola.
Al revisar el portátil de un familiar (con Windows 7 Ultimate), protegido con Avast gratuito, mientras ejecutaba el Spybot salió un mensaje de Avast que advertía de que se estaba descargando, desde ese ordenador, un archivo de nombre sqlite3.dat que consideraba sospechoso. Avast indicaba que el programa que lo estaba descargando era el c:\ProgramData\MpBxuVYsR\QcyGIAQPY.exe. Comprobé que existía el programa y que se estaba ejecutando (en los procesos del sistema). Revisando el registro comprobé que estaba registrado como servicio Local con Tipo de Inicio automático y con dependencias de los servicios de "Instrumental de administración de Windows\Llamada a procedimiento remoto" y de "Servicios de cifrado\Llamada a procedimiento remoto". Eliminé la carpeta en modo a prueba de fallos pero tomé la precaución de hacer una copia por si tenía interés para vosotros. La carpeta contiene:
29/11/2014 12:18 <DIR> .
29/11/2014 12:18 <DIR> ..
28/03/2015 11:48 <DIR> dat
23/09/2014 19:30 144 info.dat
23/09/2014 19:30 144 QcyGIAQPY.dat
02/10/2014 23:03 2.321.776 QcyGIAQPY.exe
02/10/2014 23:03 189 QcyGIAQPY.exe.config
Y a su vez la carpeta dat contiene:
28/03/2015 11:48 <DIR> .
28/03/2015 11:48 <DIR> ..
28/03/2015 11:48 50.032 HugpYAiOJdP.exe
28/03/2015 11:48 190 HugpYAiOJdP.exe.config
28/03/2015 11:48 1.187.696 IAfArTLUUE.dll
Imagino que ya será conocido porque realmente tiene toda la pinta de virus o malware y la fecha de instalación (23/09/14) es un poco antigua, pero os lo comento por si me podéis informar.
Si os interesa que os pase alguno de los archivos o la carpeta completa solo tenéis que decírmelo.
Gracias.
Saludos,
GGG
Ejecutable sospechoso
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ejecutable sospechoso
Pues envianos esta carpeta sospechosa o los dos .EXE y la .DLL , lo analizaremos y pasaremos a controlar, si procede, en la proxima version del ELISTARA, de lo cual informaremos .
https://foros.zonavirus.com/viewtopic.php?f=5&t=45334
Saludos
ms, 28-3-2015
Saludos
ms, 28-3-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Ejecutable sospechoso
Hola.
Ya he mandado un ZIP con el contenido de la carpeta y contraseña "virus".
Saludos,
GGG
Ya he mandado un ZIP con el contenido de la carpeta y contraseña "virus".
Saludos,
GGG
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ejecutable sospechoso
Recibidos los ficheros solicitados, pasamos a añadir su control y eliminacion en el ELISTARA 31.97 de hoy
Además, ya el ELIPUPS actual le localiza este PULL UPDATE y le ofrece su desinstalacion, que es la forma en que se deben desisntalar los PUP indeseados.
saludos
ms, 30-3-2015
Además, ya el ELIPUPS actual le localiza este PULL UPDATE y le ofrece su desinstalacion, que es la forma en que se deben desisntalar los PUP indeseados.
saludos
ms, 30-3-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online