Spyware SPY COBRA

Cerrado
Ravenor2011
Mensajes: 2
Registrado: 09 Dic 2011, 22:33

Spyware SPY COBRA

Mensaje por Ravenor2011 » 10 Dic 2011, 00:07

Buenas,



Estoy teniendo problemas con un software Spyware llamado SPY COBRA, el cual funciona en modo silencioso recopilando información como key logger, capturando pantallas en intervalos de segundos, etc. Lo curioso es que tengo instalado NORTON INTERNET SECURITY 2012 completamente actualizado y aunque realiza escaneos y actualizaciones periódicas no consigue detectar ni eliminar este spyware. Adjunto una breve descripción de este programita, que se puede encontrar en la web.:



[b]"Spy Cobra es un utensilio USB que sirve para recibir información de los viajes que nuestros hijos hacen por Internet, para que el jefe sepa el uso que sus empleados hacen del ordenador, o cualquier otro tipo de información que pueda iluminar un proceso de investigación. En su nombre va implícita su misión: el espionaje. Sólo hay que conectarlo al PC para que en apenas 15 segundos, sin que necesite detectar ningún tipo de hardware, ejecute el software necesario para activar la vigilancia.

Cuando el responsable del control opte por la adquisición de información sólo necesita volver a introducir el Spy Cobra en un puerto USB del ordenador a vigilar para obtener los datos necesarios. Posteriormente podrá analizar en otro ordenador los datos recopilados."[/b]




Uso un portátil con windows 7 home premium 32 bits actualizado, y por mucho que miro por internet posibles soluciones para detectar y eliminar este spyware no encuentro nada. Por mucho que mire el sistema no encuentro ni procesos, ni funcionamiento anómalo del portátil nada que me de alguna pista de como encontrar y neutralizar esta amenaza.



Alguién conoce algún antivirus que sea efectivo para detectar y eliminar este software ? ya que parece que el Norton se lo come con patatas, o como puedo localizarlo en mi portátil ?. He usado Norton Eraser y el resultado ha sido negativo.



Gracias y saludos !

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Spyware SPY COBRA

Mensaje por msc hotline sat » 10 Dic 2011, 10:34

Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]




Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]


lo analizaremos e informaremos al respecto.



saludos



ms, 10-12-2011







NOTA: Y buscando información al respecto, parece que se trata de una aplicación comercial, y que posiblemente instaló voluntariamente, y de la misma forma puede que en las instrucciones le indiquen como desinstalarlo. Vea dicha info en http://www.find-me-a-gift.co.uk/usb-spy-cobra-key-logger.html

Ravenor2011
Mensajes: 2
Registrado: 09 Dic 2011, 22:33

Re: Spyware SPY COBRA

Mensaje por Ravenor2011 » 13 Dic 2011, 20:47

Buenas,



Tras probar ELISTARA y posteriormente SPROCES el resultado han sido el siguiente, ELISTARA borró el fichero TDX.SYS al que había confundido con un troyano, por lo que tuve que reinstalarlo para poder navegar por internet. No se ha detectado nada más, adjunto los datos de los ficheros TXT generados para su análisis.

El aplicativo SPY COBRA es comercial ciertamente, la máquina no se infecta por descarga o instalación accidental a través de correo o descarga de algún ejecutable si no que se instala a través del USB. Este troyano recopila la información a través de captura de pantalla y key logger y lo guarda hasta que el PEN es nuevamente conectado al USB, la persona que hace esta acción administra el troyano a través de contraseña que le da acceso a la configuración del mismo. [u]El problema es que yo no soy quien tiene el pen ni lo administra.[/u]

Tampoco soy capaz de detectar la actividad de registro que realiza en el portátil y el antivirus que uso tampoco.



[b]Contenido fichero InfoSat.txt[/b]



(13-12-2011 08:19:29 (GMT))

EliStartPage v24.43 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2011)

--------------------------------------------------

Usuario: Pedro

ID de Usuario: S-1-5-21-3583090026-3053776937-1056278950-1000



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\TDX.SYS.Muestra EliStartPage v24.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\TDX.SYS --> Eliminado

Eliminado Servicio, "TDX"

Eliminada Carpeta "C:\$Recycle.Bin"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(13-12-2011 08:21:42 (GMT))

EliStartPage v24.43 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2011)

--------------------------------------------------

Usuario: Pedro

ID de Usuario: S-1-5-21-3583090026-3053776937-1056278950-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18071

Nº Total de Ficheros: 117209

Nº de Ficheros Analizados: 28583

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



[b]Contenido fichero SProcLog.txt[/b]



(13-12-2011 08:13:28 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Home Premium (v6.1)

Internet Explorer: (v9.0.8112.16421) 0

Equipo: PEDRO-PC

Usuario: Pedro

Sesión de Usuario: Pedro



43 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVVSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVVSVC.EXE

C:\PROGRAM FILES\COMMON FILES\ADOBE\ARM\1.0\ARMSVC.EXE

C:\WINDOWS\SYSTEM32\LXEACOMS.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\19.2.0.10\CCSVCHST.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\SYSTEM32\TASKHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\WESTERN DIGITAL\WD SMARTWARE\WD DRIVE MANAGER\WDDMSERVICE.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\19.2.0.10\CCSVCHST.EXE

C:\PROGRAM FILES\WESTERN DIGITAL\WD SMARTWARE\FRONT PARLOR\WDFME\WDFME.EXE

C:\WINDOWS\WINDOWSMOBILE\WMDC.EXE

C:\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE

C:\PROGRAM FILES\WESTERN DIGITAL\WD SMARTWARE\FRONT PARLOR\WDSC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUDFHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHUTIL11E_ACTIVEX.EXE

C:\WINDOWS\SYSTEM32\TASKHOST.EXE

C:\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elperiodico.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Norton Identity Protection - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\19.2.0.10\coIEPlg.dll

O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\19.2.0.10\IPS\IPSBHO.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Lexmark - {D2C5E510-BE6D-42CC-9F61-E4F939078474} - C:\Program Files\Lexmark Printable Web\bho.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\19.2.0.10\coIEPlg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\steam.exe" -silent

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')

O8 - Extra context menu item: Descargar con Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Descargar la selección con Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Descargar todo con Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Descargar video con Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O13 - Gopher Prefix: NULL2

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)



Información Adicional:

----------------------

WinSys\Drivers\adp94xx.sys (de 422976 bytes) () Adaptec, Inc.

WinSys\Drivers\bxvbdx.sys (de 430080 bytes) () Broadcom Corporation

WinSys\Drivers\dxgkrnl.sys (de 728448 bytes) () Microsoft Corporation

WinSys\Drivers\elxstor.sys (de 453712 bytes) () Emulex

WinSys\Drivers\http.sys (de 513536 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 712576 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 586752 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 405504 bytes) () Microsoft Corporation

WinSys\Drivers\Wdf01000.sys (de 445008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: lxeaCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxeaserv.exe

O23 - Service: lxea_device - - C:\Windows\system32\lxeacoms.exe

O23 - Service: Norton Internet Security (NIS) - Unknown owner - C:\Program Files\Norton Internet Security\Engine\19.2.0.10\ccSvcHst.exe" /s "NIS" /m "C:\Program Files\Norton Internet Security\Engine\19.2.0.10\diMaster.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: WDDMService - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe

O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe

O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\drivers\amdsata.sys

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbdx.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbdx.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys

O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\HpSAMD.sys

O23 - Service: Controladora RAID de Intel para Windows 7 (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iaStorV.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys

O23 - Service: NAVENG - Symantec Corporation - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.1.3\Definitions\VirusDefs\20111212.018\NAVENG.SYS

O23 - Service: NAVEX15 - Symantec Corporation - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.1.3\Definitions\VirusDefs\20111212.018\NAVEX15.SYS

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link 5000 Series para Windows Vista de 32 bits (netw5v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\netw5v32.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys

O23 - Service: NEC Electronics USB 3.0 Hub Driver (nusb3hub) - NEC Electronics Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nusb3hub.sys

O23 - Service: NEC Electronics USB 3.0 Host Controller Driver (nusb3xhc) - NEC Electronics Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nusb3xhc.sys

O23 - Service: Controlador de controladora de red NVIDIA nForce (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvm62x32.sys

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys

O23 - Service: NVIDIA nForce Ethernet Driver (NVNET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvmf6232.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvsmu - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvsmu.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys

O23 - Service: Serial Port Driver (Serial) - Brother Industries Ltd. - C:\WINDOWS\system32\DRIVERS\serial.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys

O23 - Service: Symantec Real Time Storage Protection (SRTSP) - Symantec Corporation - C:\WINDOWS\System32\Drivers\NIS\1302000.00A\SRTSP.SYS

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys

O23 - Service: SymEvent - Symantec Corporation - C:\Windows\system32\Drivers\SYMEVENT.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys

O23 - Service: WD SCSI Pass Thru driver (WDC_SAM) - Western Digital Technologies - C:\WINDOWS\SYSTEM32\DRIVERS\wdcsam.sys

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------



70 Servicios.

11 de Carga Automatica.

59 de Carga Manual.

0 Deshabilitados.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Spyware SPY COBRA

Mensaje por msc hotline sat » 13 Dic 2011, 21:46

Efectivamente, tras el analisis de un TDX.SYS malicioso, segun Tema https://foros.zonavirus.com/viewtopic.php?f=5&t=38325&p=187737&hilit=alureon#p187737

con la version ELISTARA 24.43 procedimos a eliminar el malware correspondiente a un ALUREON.AOV :



---v24.43-(12 de Diciembre del 2011) (Muestras de (2)Worm.Dorkbot "E621CA05.EXE", Spy.ZBot.Y "*****.EXE", (4)Proxy.EXI, Cutwail.BE "1DURZDHQ02.EXE", Alureon.AOV "TDX.SYS", ASKToolbar "GenericAskToolbar.dll", Sirefef.B(dr) "DMHOST.EXE", Sirefef.C(dr), Buzus.IQDL(dr) "FEUUB.EXE" y Malware.DrvSvc "DRVSVC.EXE")



Y se aparcaban en C:\muestras los ficheros que se encontraban en su misma ruta y con el mismo nombre, pidiendo que se nos enviaran para analizar, al poder ser variantes del mismo:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\TDX.SYS.Muestra EliStartPage v24.43

a "virus@satinfo.es". Gracias.



Para, si en el analisis resultaba que no era malware, se volvía a copiar en su sitio con el nombre inicial y listos, si bien parece que no nos envió dicho fichero como pedimos, y no se le pudo informar al respecto.



Pero visto que existe un driver correcto con dicho nombre, se ha procedido a eliminar dicha deteccion heurística, a partir de la siguiente version 24.44 del ELISTARA de hoy.







Respecto al analisis del log vemos este fichero:





C:\WINDOWS\SYSTEM32\LXEACOMS.EXE





que puede ser el driver de una impresora, o un malware como indican en



http://virus-com.com/viruscom/viruscom_92616.html



aunque al ver otras claves de dicha impresora en su log, creemos que tiene instalada una de dicho tipo y en su caso debe tratarse de lo primero, de todas formas, envienos el fichero y lo comprobaremos.





Y finalmente vemos esta clave que sugerimos eliminar, al poder estar relacionada con virus:



O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)





De todas formas si sabe que este keylogger es una aplicación comercial y que funciona a base de la inserción de un pendrive con dicha aplicacion, necesitariamos analizar dicho pendrive si quisieramos controlarlo, y ver donde guarda los datos recopilados y como evitarlo, pero si no dispone del mismo, poco podemos ayudarle :(



De todas formas si quiere evitar que se autoejecute dicho pendrive cada vez que lo inserten, vacune su ordenador con el ELIPEN y evitará la autoejecucion de los comandos OPEN del AUTORUN.INF del mismo.



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/descargar-elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso





Al menos si se consigue que no recoja la informacion acumulada, se evitará el espionaje... aparte de que si aun no está instalado, se evitaría su instalación.



Informenos de sus progresos al respecto, gracias



saludos



ms, 13-12-2011

Cerrado

Volver a “Foro Spyware”