Mas virus ayuda! <HackerTool> *

[Macoriginal]

Hola amigos. estoy en este momento haciendo un escaneo de rutina en mi pc y el nod32 detecto varias cosas que no puede quitar, en primer lugar, me detecto como infectados los 3 mails que mande a satinfo, por el asunto de "foto_celular" diciendome que esta infectado con el "Win32/Pegan.X" y unas 4 veces detecto el "cmdown.143" que en uno de ellos pude borrar (el que estaba dentro del cmdown.exe).. que puedo hacer... en primer lugar supongo que borrar los elementos enviados del outlook... pero con el resto que.. Elistara??... donde puedo bajar la ultima version?... muchas gracias

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Saludos.

[Macoriginal]

parece que hay un error en la pagina.. pongo bajar el elistara y el link me dice que va a bajar el elitriip....

[Macoriginal]

bueno.. despues de ese pequeño problema, pude bajkar ambos programas.. solo el elistrara encontro y borro algo.. pero el nod sigue encontrando los archivos infectados, aqui pongo lo que encontro el elistara...





Sun Sep 02 21:02:30 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 02 21:02:45 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ



Sun Sep 02 21:04:58 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Sep 02 21:06:08 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Sep 02 21:06:11 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 02 21:06:54 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Sep 02 21:20:30 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 02 21:20:34 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 02 21:23:38 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Sep 02 21:25:05 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Sep 02 21:25:07 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 02 21:27:20 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\





despues de reiniciar.. por algun motivo no podia entrar a ninguan pagina de internet... volvia reiniciar y ahi si pude...

[Macoriginal]

aqui esta lo del hijackthis a modo prueba de fallos..(no recuerdo si fue antes o despues de pasar los programas :roll:





Logfile of HijackThis v1.99.1

Scan saved at 21:08:17, on 02/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\recupero\cosas\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Archivos de programa\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] d:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090907 serial=DR12WRT-7856883-UGR lang=ES

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187561567546

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://macoriginal.spaces.live.com/PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe

O23 - Service: Diskeeper - Diskeeper® Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: FarStone RestoreIT Loader - Unknown owner - C:\Archivos de programa\FarStone\RestoreIT\fsloader.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Claudia34]

¿Pasaste el nod 32 en modo a prueba de fallos y con la restauracion del sistema desactivado? Pues si hiciste lo anterior y te da que no puede eliminar esos bichos, prueba los siguientes antivirus online en modo a prueba de fallos con opcion de red y la restauracion del sistema desactivado:





https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/

[Macoriginal]

por ultimo, pongo aqui lo que encuentra el nod32.. para mas datos





El archivo C:\Documents and Settings\Administrador\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



El archivo C:\Documents and Settings\Default User\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



El archivo C:\WINDOWS\system32\config\systemprofile\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



esta carpeta 7zS4F4.tmp\, que se repite en todos los casos, que dice ser temporal. y si la borro directamente?? el nod no me da opciones para eliminar, ni nada por el estilo.. solo copiar a cuarentena (cosa que hice con todos) y continuar la busqueda

[Macoriginal]

faltaron estos dos mas



El archivo D:\recupero\Identities\{E9AF7D24-BDA4-4E32-BD15-FC368426FCF5}\Microsoft\Outlook Express\Elementos enviados.dbx está infectado con (Gusano de Internet) Win32/Pegan.X.



El archivo D:\RECYCLER\S-1-5-21-842925246-651377827-839522115-500\Dd16.rar está infectado con (Troyano) Win32/Spy.Banker.



y si.. fue a modo prueba de fallos, ahora intento los via web. por otro lado.. la restauracion automatica de sistema. esta desactivada "por directivas de grupo" (windows uE).. lo que si esta es un programa llamado "RestoreIT" que instale hace unos dias, porque lo traia el cd de instalacion de la placa madre... (quizas lo desisntale proximamente).. volviendo al tema de los antivirus, en modo normal, el nod32 y el zonealarm funcionan, pero a prueba de fallos, no se si estaran activos para monitorear las comunicaciones, sera seguro hacer eso?



otro tema... muchas veces al actualizarse el nod, el zonealarm dispara una alerta "Registry Editor Utility is tryying to launch C:/WINDOWS/regedit.exe, or use another program to gain acces to privileged resources"..... yo ante la dude le niego eso... pero....... no se si estare haciendo bien..(otras veces se actualiza el nod, y no salia esta alerta)............ que hago?

[msc hotline sat]

Es posible que lo ultimo indicado lo haga alguno de los virus que tiene...



Proceda a desactivar la restauracion de sistema y arrancando en modo seguro lance los antivirus que le detectan estos virus y deberá poder eliminarlos



Sino, arranque en modo seguro con funciones de red, con la restauraicon de sistema desactivada, claro, y lance este AV ONLINE:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]



Y nos cuenta el resultado, gracias



saludos



ms, 3-09-2007

[Macoriginal]

la restauracion de sistema de windows esta desactivada.. yo preguntaba por el "restoreIT"... que hasta donde yo se..solo genera copias de seguridad periodicamente y uno restaura en caso de ser necesario... a eso le desactive la generacion de copias, igual al inicio aparece una pantalla previa a la carga de windows preguntandome si quiero entrar a las opciones de restauracion (pre SO del programa), y dejo que siga cargando normalmente, creo no equiovocarme al decir que eso no modifica nada, es decir. no restaura nada.. corrijanme si me equivoco. voy a intentar lo de los antivirus online (algo desconfiado, por el asunto de no tener la proteccion del zonealarm ni el nod32 a modo pruieba de fallos.... esto es asi verdad?)

[msc hotline sat]

Se desactiva la restauracion de sistema porque sino no podemos meter mano al RESTORE y limpiar o eliminar los malwares que alli hubieran.



saludos



ms, 3-09-2007

[Macoriginal]

disculpa no entendi eso ultimo...



paso a comentar que a modo prueba de fallos con funciones de red, no puedo conectarme. no detecta el modem ( es usb. quizas eso tenga algo que ver). por otro lado, nod32 sigue detectando pero no puede hacer nada. algo extraño que sucede es que .. en un analisis profundo.. detecta las 3 infecciones



El archivo C:\WINDOWS\system32\config\systemprofile\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



El archivo C:\Documents and Settings\Administrador\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



El archivo C:\Documents and Settings\Default User\7zS4F4.tmp\WinuEFiles.exe está infectado con aplicación Win32/CMDOW.143.



pero al buscar en el lugar donde efectivamente esta ese archivo WinuEFiles.exe , paso el nod y no detecta nada....¿?¿?¿?



por otro lado los AV online que pase (en modo normal) no detectaron nada



vuelvo a preguntar.. y si borro esa carpeta temporal? (esta solo este archivo)... alguien sabe si ese WinuEFiles.exe es algo importante??.. que este dentro de una carpeta temporal.. hace pensar que puede ser prescindible, que pueden decirme-..-

[msc hotline sat]

Mira, sube este fichero WinuEFiles.exe a Virus Total, https://www.virustotal.com/es/ y si te detectan virus en este fichero otros antivirus que no sean el NOD32 (hay 32 en total en VirusTotal) , nos lo envias para analizar, pero si solo es el NOD32 quien lo detecta o ni siquiera él lo hace, se puede tratar de una falsa alarma de la heuristica que emplea.



Y nos comentas el resultado, gracias



Por cierto, ya hemos subido la version 14.56 del ELISTARA, pruebala si quieres.



saludos



ms, 3-09-2007

[Macoriginal]

bueno comunico que en esa pagina en 3 de los antivirus fue detectado algo.



Fortinet 3.11.0.0 2007.09.03 HackerTool/HideWindows



Kaspersky 4.0.2.24 2007.09.04 not-a-virus:RiskTool.Win32.HideWindows



NOD32v2 2501 2007.09.03 Win32/CMDOW.143





ahi ven.. que hago entonces.. les mando el archivo?.. a que direccion?....



me parece que este virus me cierra las ventanas del explorer, no se si algo mas..

[msc hotline sat]

Si, ya es significativo



Envianos el fichero segun indicamos y lo analizaremos:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 4-09-2007

[Macoriginal]

ok, ya mande el archivo comprimido, espero sirva de algo. gracias





acaba de actualizarse el nod32 y volvio a saltar el zone alarm, diciendome que regedit intenta modificar el registro y volvi a negar esa accion, estoy empezando a dudar si estoy actuando bien, sera que necesita el nod modificarlo?... aparentemente la actualizacion queda, vuelvo a buscar actualizaciones y me dice que ya esta en la ultima version.. si pueden darme info. al respecto, quizas la solucion al problema este por este camino (quien sabe)...

[msc hotline sat]

Cuando lo recibamos lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades. de lo cual informaremos



saludos



ms, 4-09-2007

[Macoriginal]

ok, acabo de ver que me respondieron desde "Fortinet" diciendome esto:



Thank you for submitting the sample to Fortinet. Our analysis shows that the sample submitted by you should already be detected with the latest antivirus pattern as [color=red]HackerTool/HideWindows [/color].It is [color=red]not a malware[/color].But it is a Grayware. If you really want to remove it,follow the list in which the files setuped by the file named "WinuEFiles.exe" are shown.

C:\WINNT\System32File apply.

regFile cmdow.exe

File rs.cmd

File sleep.exe

C:\WINNT\TempFile Pass.exe

File RESTART.exe

File WGA.exe

File begin.reg

File clean.cmd

File do.reg

File inicialize.cmd

File removestart.cmd

File up.cmd



Best Regards,

AV Lab - tcliu



y ahi viene el problema, no entiendo exactamente que tengo que hacer para eliminarlo :roll: , alguien entiende completamente lo que hay que hacer?





por ultimo como no sabia lo que era, encontre esto, lo pongo, por si alguien como yo no entendia esto, (si no corresponde lo borro)



Grayware" es un término abarcador aplicado a un amplio rango de programas que son instalados en la computadora de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones son usualmente instaladas y “corren” sin el permiso del usuario.



El Grayware puede provenir de actividades como:



“Bajar” software de internet o archivos de redes peer to peer como kazaa.

Abrir correos electrónicos infectados.

Hacer clic sobre un anuncio tipo pop-up

CATEGORÍAS



A pesar de que la categoría más común de Grayware es el “Spyware”, se conocen otras:



"Adware". Usualmente embebido en los llamados programas freeware o gratuitas. El "Adware" es usado para presentar los molestos pop-ups o ventanas que se abren cuando se está navegando en internet o usando una aplicación.

"Dialers". Este tipo de Grayware controla el modem de la computadora. La mayoría de las veces, sin el consentimiento del usuario, provocan que la computadora llame a un sitio pornográfico u otro tipo siempre con el propósito de generar ingresos para el sitio Web.

"Juegos". Estos programas son juegos que se instalan y producen molestia puesto que “corren” en el computador sin que el usuario lo solicite.

"Spyware". Son usualmente incluidas con freeware. Estos programas hacen seguimiento y analizan la actividad del usuario, como por ejemplo los hábitos de navegación en internet.

"Key logger". Es quizás una de las más peligrosas aplicaciones. Capturan todo lo que el usuario “teclea” en su computador. Pueden capturar nombres de usuarios y contraseñas, tarjetas de crédito, emails, chat, y mucho más.

"Toolbars". Son instaladas para modificar el browser o navegador. ¿No le ha pasado que sin usted saberlo o hacerlo le aparece una barra de búsqueda en su navegador?

Controles remotos. Permiten ganar acceso, monitorear, o cambiar la computadora de la víctima.

SÍNTOMAS



El desempeño de su computador en bajo.

Su computador desplega ventanas molestas de anuncios pop-ups cuando no está conectada a internet o cuando el navegador no está “corriendo”

La página de inicio de su navegador se cambió sin que usted lo solicitara. Si usted cambia a la página de inicio que usted desea, esta se vuelve a cambiar a otro sitio Web.

La barra de búsqueda del navegador fue cambiada. Por ejemplo si usted usa Google como su buscador preferido, le aparece en su navegador otro sitio de búsqueda distinto a Google.

Su programa de Antivirus, Anti-spyware u otros programas de seguridad dejan de trabajar.

[msc hotline sat]

De lo que te dicen los de Fortinet, se entiende que se trata de una utilidad de hacker, o utilidad potencialmente peligrosa, a las que nosotros tratamos como indeseables y las controlamos y eliminamos, pero parece que ellos las dejan estar...



En cuanto hayamos analizado la muestra que hemos recibido esta tarde, pasaremos a controlarla con nuestras utilidades, de lo cual informaremos



saludos



ms, 4-09-2007

[Macoriginal]

si, la dejan estar, pero me dicen como hacer para eliminarla, pero no lo entiendo una pequeña parte importante :evil:

voy a ver si encuentro algun amigo traductor...



saludos

[msc hotline sat]

Repito que con nuestras utilidades lo eliminaremos automaticamente...



Pero haz lo que quieras.



saludos



ms, 4-09-2007

[Macoriginal]

Solo trato de ayudar..



aparentemente el asunto es borrar los archivos que ahi listan, pero por las dudas espero el proximo elistara, o programa que corresponda :wink:



saludos

[msc hotline sat]

Pues a ver si nos da tiempo de incluir su control y eliminacion en la version de hoy del ELISTARA...



ya informaremos



saludos



ms, 4-09-2007

[Macoriginal]

ok.. veo que ya esta la version 14.57 del elistara, esta incluye la soucion para el problema que presente??.



si.. evidentemente lo encuentra.. ahora.. puedo eliminarlo sin problemas no?..



Muchas gracias.

[msc hotline sat]

Pues tras probar el ELISTARA, postea como es debido el contenido de c:\infosat.txt con un copiar y pegar...



saludos



ms, 5-09-2007

[Macoriginal]

pongo aqui los resultados, como es debido.



Tue Sep 04 20:43:46 2007

EliStartPage v14.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\7zS4F4.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)

C:\Documents and Settings\Default User\7zS4F4.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)

C:\WINDOWS\system32\config\systemprofile\7zS4F4.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)



Tue Sep 04 20:47:22 2007

EliStartPage v14.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\





aparentemente esta todo limpio. por lo visto habia que borrarlos nomas :wink: gracias, nos vemos. :!:

[msc hotline sat]

Eso es, lo detecta y lo elimina de todas partes.



Pues con ello damos por solucionado el Tema, y procedemos a cerrarlo



saludos



ms, 5-09-2007





NOTA : Y RECORDAR https://foros.zonavirus.com/viewtopic.php?f=1&t=1307