intruso en mi PC (SOLUCIONADO)

[gavilancolorao]

Hola amigos:

Me identifico como el autor de este post: viewtopic.php?f=5&t=26360

Me atrevo a abusar de nuevo de vuestra paciencia...

Cuando estaba abriendo una deliciosa la botella de vino español para celebrar me he dado cuenta que la pequeña luz de mi modem que parpadea cuando uno navega por internet, parpadea locamente y sin cesar cuando NO estoy utilizando mi compu y el protector de pantalla está activo.

Tengo la certeza que alguien ajeno a mí está utilizando mi conexión y mi PC. En cuanto muevo el ratón, el modem se calma. Ese "alguien" es muy educado y me deja trabajar y navegar en la PC sin interferir.

Esto sucede desde ayer y es permanente.

En una ocasión bajé "Ares" y el modem tenía un comportamiento similar ya que Ares descargaba archivos todo el tiempo.

Me preocupa que se trate de un "dialer" pues eso podría generarme una factura telefónica monstruosa.

¿ Que opinan ?

Saludos, Gavilancolorao

[flacoroo]

Haz esto.....

1.- Si no tienes el Spybot bajatelo y lo actualizas
a.- deshabilita Restaurar Sistema
2.- Enciende tu computadora en modo seguro.
3.- ejecutas tu Spybot …sigue estos pasos:
a).- en el menú modo toma la opción avanzado.
b).- entras en la pestaña herramientas
c).- del lado derecho te aparecerán varias opciones, habilitas todas
d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…
e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.
Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs
f).-Después entras en Inicio de sistemas
g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…
2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.
3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)
h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.
i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde ó en su defecto que no digan GENUINE
j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX

y de ahí le das analizar problemas el spybot y eliminas todo lo que te salga e inmunizas….

aun asi haz esto.....bajate estos archivos, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)

Descargar Elistara
Descargar ElitriIP
Descargar Elinotiff (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[gavilancolorao]

Hola flacoroo:



Gracias por tu respuesta. Realizé cuidadosamente todos los pasos recomendados.

El Spybot eliminó unos dos virus y un worm pero descubrió sin poder destruir un monstrico que se llama ATTUNE y que se encuentra en una carpeta denominada AVEO en los archivos de programa. El desinstalador de Windows tampoco puede con este "Duro de matar".



Este es el reporte del escaneo con Elistara:



Tue Oct 07 08:46:20 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"



Tue Oct 07 08:46:54 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 07 08:47:13 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Nº Total de Directorios: 3664

Nº Total de Ficheros: 46360

Nº de Ficheros Analizados: 16057

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Oct 07 08:55:51 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 07 08:56:11 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 07 10:42:14 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 07 10:46:33 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 3647

Nº Total de Ficheros: 44631

Nº de Ficheros Analizados: 17121

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Oct 11 14:57:57 2008

EliStartPage v17.16 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 14:59:44 2008

EliStartPage v17.16 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\WINDOWS\SETDEBUG.EXE --> Eliminado, HackTool-SRunner



Nº Total de Directorios: 5667

Nº Total de Ficheros: 72852

Nº de Ficheros Analizados: 27944

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Saludos de Gavilancolorao

[lucl]

Pues para acabar con ese es muy facil , buscale cambiale la extension exe por .VIR y ya no incordiara y nos lo envias para analizarlo y darte la herramienta necesaria, para el envio arriba a la derecha picando en el boton enviar muestras. Lo encriptas y le pones de contraseña VIRUS, gracias saludos

[gavilancolorao]

¡ Que alegría de que ese bicho es fácil de sacar ! A decir verdad yo andaba medio depre pensando que sería complicadísimo....



Disculpen mi ignorancia pero no sé como cambiarle la extensión exe. por vir. La carpeta se llama Aveo y adentro no ví nada con la extensión exe.. Se las envié así nomás.



Gracias, amigos invisibles...

[lucl]

Para renombrarlo con el boton derecho del raton picando sobre el te sale la opcion o si no cambiando nombre tambien se puede hacer y espera que te busque el link para ver las extensiones que he tenido que cambiar de pc y no tengo la chuleta





https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





y trata de renombrarlo para que no te incordie, saludos

[msc hotline sat]

Al parecer este ATTUNE se trata de un spyware:



http://antivirus.hispavista.com/virus_40715_aveo-attune



Tras renombrar su extension a .VIR para dejarlo "aparcado" no olvide enviarnois muestra para analizar e implementar su control y eliminacion en nuestras proximas utilidades:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 12-10-2008

[gavilancolorao]

Hola amigos:



El ATTUNE es un programa ubicado en C/archivos de programas/ tiene seis subcarpetas contentivas de unos 150 archivos aprximádamente. Lo que necesito saber es:



¿Le coloco la extensión .VIR a la carpeta del programa"ATTUNE"?¿ Le coloco la extesión VIR. a cada uno de los 150 archivos?



Saludos de Gavilancolorao

[lucl]

A ver hazlo a todo lo que termine en .exe, y listo luego cuando se analize ya te diran, saludos

[gavilancolorao]

Hola amigos invisibles:



Gracias por su respuesta y profesional apoyo.



Enviando la muestra de los .exe



Saludos, Gavilancolorao

[lucl]

Pues mañana te diran algo respecto al envio estate atento al post, saludos

[msc hotline sat]

Parece que no entendiste que habias de enviar solo los .EXE...



Envias dos zip, uno de mas de 5 MB , con tropecientos ficheros de todo tipo ...



Se aparca de momento.



ms.

[msc hotline sat]

Releyendo su Tema, vemos que indica:



[b][i]El Spybot eliminó unos dos virus y un worm pero descubrió sin poder destruir un monstrico que se llama ATTUNE y que se encuentra en una carpeta denominada AVEO en los archivos de programa.[/i][/b]



Pues analizados los 9 ficheros EXE que figuran en la carpeta ATTUNE\BIN, donde se encuentra el ATTUNE.EXE, ninguno de los 9 presenta rutinas viricas, asi como tampoco el otro EXE que existe en ATTUNE\SETUP



SI quiere pase de nuevo el SPYBOT a ver si le detecta algo, pero podría ser unn falso positivo... En tal caso envienos muestra especifica del que detecte el SPYBOT, para analizarlo



saludos



ms, 13-10-2008

[gavilancolorao]

Buenos días a todos:



Muchas gracias por su respuesta.



Pasé el Spybot y este señala a la carpeta Aveo/Attune como spyware...pero no la puede eliminar...si es un falso positivo entonces ¿ Porqué es tan dificil de eliminar ? ¿ Porqué se disfraza de programita inocente esa forma tan astuta ?



Saludos de Gavilancolorao

[msc hotline sat]

Una carpeta no es spyware, como maximo puede contener ficheros spyware... Mire bien cual le dice y envienoslo para analizar.



saludos



ms, 13-10-2008

[gavilancolorao]

Hola:



El resultado que arroja Spybot es exactamente así:



C/Archivos de programa/Aveo/Attune

(SBI $1E111ADB) carpeta de programa



Pensando que "(SBI $1E111ADB)" podía ser una carpeta, la busqué meticulosamente pero no existe...



Saludos de Gavilancolorao

[msc hotline sat]

Pues insuficientes datos para su control.



Por mi parte sugiero desinstalar el /Aveo/Attune



O excluirlo del control del Spybot...



saludos



ms, 13-10-2008

[flacoroo]

haz esto....entra en modo seguro en tu compu, buscas la carpeta en cuestion; si no la encuentras normalmente debe estar oculta, entonces haz esto, abre el exporardor de windows, en la parte de arriba del menu, dice herramientas, de a opciones de carpeta, de ahi a la pestaña ver, de ahi buscas la opcion Ver todas las carpetas y archivos ocultos dedbe estar habilitada, y en la carpeta de abajo debes deshabiliatar las opciones ocultar archivos protegidos y ocultar las extensiones de archivo y eliminas la carpeta Aveo/Attune.

[msc hotline sat]

Correcto, pero ya se lo había indicado lucl en un post anterior de este mismo Tema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y se supone que ya lo ha hecho, o no ?



saludos



ms, 13-10-2008

[gavilancolorao]

Saludos gente:



Mi sobrina se metió en mi PC y así nomás envió la carpeta de Aveo/ Attune a la papelera de reciclage y de ahí la eliminó.



No me gusta demasiado esa solución pues van a quedar rastros de ese programa aquí y allá, pero si ustedes no encontraron nada dañino en los archivos exe que les envié pues demos por resuelto este asunto.



Gracias mil por ayudarme, se aprende muchísimo en este foro...saludos de avilancolorao

[lucl]

Bueno pues entonces se cierra si tu lo consideras asi, damos el tema por solucionado y ya sabes donde estamos



saludos