New spy que muta, grave problema de seguridad

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Cristian Brinck
Mensajes: 1
Registrado: 06 Oct 2004, 23:04

New spy que muta, grave problema de seguridad

Mensaje por Cristian Brinck » 06 Oct 2004, 23:19

Pretendia utilizar el notepad, me daba un error - [i]Que el archivo no existia[/i], busque le programa y encontre que habia sido renombrado por otro programa, elimine el nuevo Notepad y renombre el antiguo, se acabo el problema.



Sintomas posteriores:

Continuamente se estan creando archivos en la raiz del Disco C: del tipo:

[b]txxx[/b] y[b] txxx.1[/b], siempre se crean en pares (xxx indica que cambian ). Son imposibles de eliminar, aún en modo a prueba de fallos.

¿De que se tratan estos Archivos?



Corriendo programas:

Search & Destroy detecta un Dso Exploid, elimina las entradas de registro, pero al reiniciar la Pc, vuelven a cargarse en memoria.



Con el Ad-Aware sucede lo mismo.



Programas corriendo:

smss.exe y csrss.exe imposible bajarlos.



Se detecta actividad en el puerto 5000.



Entorno:

WinXP service Paxk 1 y 2

Zone Alarm

Norton Antivirus



Tiempo perdido:

He tenido ya muchos diagnosticos, que es este virus, que es este otro, pero ninguna de las supuestas vacunas a dado solución.

Ya me aprendi de memoria el registro de mi maquina.

:?: Quien realmente puede ayudarme y documentar este caso para su publicación.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 07 Oct 2004, 15:14

Este NOTEPAD.EXE, gusano que te sobreescribio el original, si lo tienes, envianoslo a zonavirus@satinfo.es y te diremos de lo que se trata



El DSO EXPLOIT se elimina correctamente con el nuevo SPYBOT 1.3.1, pero siempre y cuando arranques en MODO SEGURO !!!



El port 5000 es usado por muchos backdorrs. Y el fichero NOTEPAD.EXE es renombreado por algunos y sobreescrito por otros. Por ejemplo los QAZ lrenombran el original a NOTE,COM y en luhar del NOTEPAD.EXE instalan el gusano, como puede verse en:



http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.qaz.a.html



Saldremos de dudas si nos envias el fichero muestra, anexado a un mail cuyo texto sea un copiar y pegar de este post, y te responderemos como respuesta de este Tema



Por otro lado, concendría que arrancaras en modo seguro con funciones de red y lanzaras un antivirus ONLINE, y eliminaras lo que te detectara, y un antispyware como el SPYBOT, y al finalizar pulsaras en SOLUCIONAR PROBLEMAS:



__________







Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema





Sitio 1 - Descargar Spybot - Search & Destroy 1.3.1

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



____________



Tras lo indicado, reinicia el ordenador y cuentanos los resultados



saludos



ms, 7-10-2004
Arriba
Responder

Volver a “Foro Spyware”