el spybot me detecta cambios en registros (SOLUCIONADO Y CERRADO)

[msc hotline sat]

Eso es, empaquetas los tres en un ZIP o RAR con paaword virus y lo anexas a un mail como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-2-2012

[impulsiu]

no entiendo porque pero cuando quiero comprimirlo con la version del winzip de evaluacion me dice que estoy intentando comprimir un archivo en un disco de solo lectura ? :?:

[msc hotline sat]

Sí, te lo indico en mi anterior post:


[quote="msc"]
y el método de enviarlos, puedes empaquetar todas las muestras en un ZIP O RAR con password virus
[/quote]

saludos



ms, 7-2-2012

[impulsiu]

perdona no me deja, me dice que quiero comprimir archivo de solo lectura



:?:

[msc hotline sat]

Quizás tienen atributo de Read Only o Solo Lectura, pulsa boton derecho en propiedades y desmarca dicha casilla si estuviera marcada...





ms.

[impulsiu]

el boton derecho del raton cuando, cuando este encima del fichero o del archivo ? porque si es asi ya lo he mirado y en atributos no esta marcado ni solo lectura ni oculto.



y me dice esta tratando de crear un nuevo archivo en un disco de solo lectura y luego pone la direccion del archivo c:.......

[msc hotline sat]

Y lo haces en una carpeta del disco duro ??? No lo estarás haciendo en un CD...



Y si tienes mas problemas al respecto, prueba de enviarnos uno a uno dichos ficheros, a ver si nos llegan (si hay suerte y no los intercepta ningun AV del servidor de correo...)



A ver si mañana los recibimos y los podemos analizar



saludos



ms, 7-2-2012

[impulsiu]

cuando lo voy a mandar por vuestra pagina ( envio de muestras ) dice que solo se pueden subir archivos comprimidos .rar.zip



:(



mira te pego la pantalla de lo que hago



[img]http://img834.imageshack.us/img834/8791/sinttulorfh.png[/img]



uso el winzip que he descargado en uso de la version de evaluacion y una vez con la opcion del raton derecho le doy a la opcion primera que dice añadir a archivo zip y al poner la contra me dice lo que te he indicado

[msc hotline sat]

En mi ultimo post ya decia que probaras de enviarlo sin empaquetar ...



ms.

[impulsiu]

es que no lo empaqueto ni lo comprimo, simplemente en la pagina de zonavirus arriba donde dice envio de muestras, pues cuando le doy y quiero incluir o añadir uno solo es cuando me dice que solo pueden ser comprimidos.



entonces como lo mando, si en vuestra pagina donde dice envio de muestras solo permite comprimidos, y no lo puedo comprimir ?



Y si lo tengo que mandar por hotmail directamente, puedes decirm como tengo que hacerlo ?



gracias

[msc hotline sat]

Anexa los ficheros a un mail que dirijas a virus@satinfo.es, y en el ASUNTO pon tu nick del foro.



Con un poco de suerte lo recibiremos y te informaremos del resultado del analisis.



ms,

[impulsiu]

lo he mandado y explico en el correo que los 2 primeros salian mas de una vez, el pwdoypow.sys no lo encuentro...como puedo hacer para encontrarlo



gracias

[msc hotline sat]

Prueba con un Inicio -> Buscar pero que mire ficheros ocultos...



Y me consta que se han recibido muestras tuyas que se están analizando, ya te informartemos del resultado.



saludos



ms, 9-2-2012

[msc hotline sat]

En los dos ficheros que has enviado no se han detectado rutinas víricas:





SHA256: 6ec65511b4838a7172a8f89e35c2f9df4f0bfce3be12eda790f3eb567102ff67

SHA1: c64510f0ead14b8a222de7f6b9a4839c3ddf63d5

MD5: 7520ec808e0c35e0ee6f841294316653

Tamaño: 193.6 KB ( 198208 bytes )

Nombre: fltMgr.sys

Tipo: Win32 DLL

Detecciones: 0 / 43

Fecha de análisis: 2012-02-09 09:19:15 UTC ( hace 0 minutos )





publisher................: Microsoft Corporation

product..................: Microsoft_ Windows_ Operating System

internal name............: fltMgr.sys

copyright................: (c) Microsoft Corporation. All rights reserved.

original name............: fltMgr.sys.mui

signing date.............: 2:20 AM 7/14/2009

signers..................: Microsoft Windows

Microsoft Windows Verification PCA

Microsoft Root Certificate Authority

file version.............: 6.1.7600.16385 (win7_rtm.090713-1255)

description..............: Microsoft Filesystem Filter Manager







___________







SHA256: 844dc5aadfabbd050b967904b796ba06bfd64c9112616ea26229d084f8b3ad41

SHA1: b3f17c6b4c6ad3dd04b49b935e22453e5a9bef48

MD5: 8a73e79089b282100b9393b644cb853b

Tamaño: 190.2 KB ( 194800 bytes )

Nombre: fvevol.sys

Tipo: Win32 EXE

Detecciones: 0 / 43

Fecha de análisis: 2012-02-09 09:16:56 UTC ( hace 5 minutos )





publisher................: Microsoft Corporation

product..................: Microsoft_ Windows_ Operating System

internal name............: FVEVOL.SYS

copyright................: (c) Microsoft Corporation. All rights reserved.

original name............: FVEVOL.SYS

signing date.............: 1:24 PM 11/20/2010

signers..................: Microsoft Windows

Microsoft Windows Verification PCA

Microsoft Root Certificate Authority

file version.............: 6.1.7601.17514 (win7sp1_rtm.101119-1850)

description..............: BitLocker Drive Encryption Driver









y ha resultado ser de Microsoft, ningun problema con ellos.





Y habiendo sido los unicos sospechosos de los informes posteados, no encontramos nada malicioso en ellos y solo esperamos que nos diga si ha encontrado oculto el otro fichero que le pediamos, y en su caso analizarlo, y sino daremos por terminado el Tema



saludos



ms, 9-2-2012

[impulsiu]

hola



2 cosas



el x86 que tambien mande que correspondia a uno de los 3 archivos no se tiene que analizar ?



el pwdoypow.sys he habilitado ver carpetas y archivos ocultos y nada sigo sin encontrarlo...y si lo visteis no puede haber desaparecido ; que puedo hacer para localizarlo ? donde lo visteis ?



gracias

[msc hotline sat]

Sí, el x86 vimos que era complementario del FLTMGR.SYS, que ya reportamos:



publisher................: Microsoft Corporation

product..................: Microsoft_ Windows_ Operating System

internal name............: fltMgr.sys

copyright................: (c) Microsoft Corporation. All rights reserved.

original name............: fltMgr.sys

signing date.............: 2:20 AM 7/14/2009

signers..................: Microsoft Windows



y el fichero que no encontró, bien buscado, pues debió ser alguno que eliminó sin eliminar la clave que hacía referencia al mismo, asi que muerto el perro, se acabó la rabia.



Y como ya indicabamos, dado que no aparece el fichero ni oculto ni visible, y todo lo demás está revisado, damos el Tema por solucionado y procedemos a cerrarlo.



saludos



ms, 9-2-2012

[msc hotline sat]

Por deseo del usuario, ante unas dudas que quiere exponer, se reabre el Tema



ms.

[impulsiu]

gracias,



solo queria comentar varias cosas :



-por los analisis hechos y aunque el hijac no haya funcionado,con los programas que he pasado puedo estar tranquilo y seguro de que no tengo ningun espia, keyloger o rootkit en mi pc ?

vamos algo que me lea y veo todo lo que tecleo incluso claves y contraseñas con el correspondiente peligro que esto conlleva, y por otro lado que pueda a distancia hacer cosas con mi pc como abrirlo y desplazarse por dentro de el a su antojo ?



-otra duda es que el posible espia, pudiera estar no el C sino en el D que es donde puso todos mis archivos, oculto entre mis ficheros ?



-si tengo en casa 2 pc (un portatil, que es el que hemos analizao, y un fijo) que navegan a traves de adsl y por tanto uitilizan la misma ip, es posible que a traves del portatil se haya podido meter algo en el fijo ?



-por ultimo el fichero o driver que no encontre ni buscando con ocultos no es necesario hacer ningun nuevo analisi para confirmar que ya no esto ) pueso pasar algun programa que lo confirme





Todo esto, creo que ya lo comente, fue porque un colega de internet me instalo el w7 y office10 con sus correspondientes claves de activacion, pero ademas ( error mio ) yo le permiti hacerlo con el temwiewer7, con lo cual el que se movia y no se que hacia en mi pc era otra persona a miles de KM de mi.



Gracias

[msc hotline sat]

De seguro, nada ! Teniendo Windows y conectado a internet, se lo puede esperar todo !



Y los RootKits no los va a ver, y si es un keyloger profesional, tampoco.



Si lo tuviera en el D, y no hubiera ninguna llamada desde el C ni lo ejecutara expresamente, no se cargaría aunque estuviera,



Y el hecho de compartir IP quiere decir que estan en red, y si se tienen comparticiones activadas, de ficheros, carpetas o recursos, puede haber acceso de uno a otro segun sea el caso.



El fichero que no encontró, lo mas probable es que hubiera sido borrado, asi que, aunque exista la llamada, no se ejecutará.



Y con amigos como los que tiene, conectados remotamente, no necesita enemigos...



____





Mi consejo, visto el historial y su miedo al respeto: Aparque estos dos ordenadores, y adquiera uno con el sistema operativo instalado, y que Vd o alguien de su confianza, o el mismo proveedor, le instale las aplicaciones que necesite, nuevas, no de los ordenadores que son motivo de sospecha, y sin nada de ellos en el nuevo, es la unica manera de estar seguro que no tendrá que preocuparse al respecto.



Y mejor conectarlo en otra IP diferente, y sobre todo que no tenga conexion con los otros.



Y ya sin mas que comentarle, doy por terminado definitivamente este Tema, y le deseo que acierte en la decisión que tome.



saludos



ms, 10-2-2012