WARNING!! Dangerous Spyware (SOLUCIONADO)

nestatrepa · Mensaje por **nestatrepa** » 29 Nov 2008, 18:30

Hola a todos, soy nueva en esto de los foros asi que no se muy bien el funcionamiento de este, espero que me podais ayudar en mi problema. Bajando un programa por emule me ha entrado un virus super molesto y inposible de eliminar. No me deja cambiar la imagen del escritorio y me sale un mensaje (que la verdad me pone de los nervios) que dice WARNING!! Dangerous Spyware....y no para de abrirse paginas de internet, me podeis ayudar??? os lo agradeceria eternamente.

Gracias anticipadas.

Mensaje por **msc hotline sat** » 29 Nov 2008, 18:40

Sí, es lo menos que puede pasar al bajar programas con eMule, que le ingresen troyanos...

Se trata de un Fake Alkert, de los que ya conocemos tropecientos y cada día aparecen nuevas variantes

Pruebe el ELISTARA a ver si es de los conocidos o le pide que envie muestras y procede con ello, sino nos loo dice y ya seguiremos con herranientas de investigación como el SPROCES

[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 29-11-2008

nestatrepa · Mensaje por **nestatrepa** » 29 Nov 2008, 20:34

Sat Nov 29 20:05:11 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

Entrada Eliminada [HKLM\...\Run] "807958e9"="rundll32.exe "C:\WINDOWS\system32\gmupsdak.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\GMUPSDAK.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GMUPSDAK.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 29 20:22:02 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 29 Nov 2008, 20:46

Indica: ~~[b]~~[i][u] No detectado SP3 de Windows XP[/u][/i][/b]

Pues ya ves que te faltan parches , lanza un windowsupdate e instala el SP3 y posteriores, esopecialmente el MS08-067 !!!

y envianos estos ficheros para analizar e implemnetar su control y eliminaicon, si procede,m en nuestras utilidades, de lo cual informaremos

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

Por favor, envienos una muestra del fichero

C:\Muestras\GMUPSDAK.DLL.Muestra EliStartPage v17.52

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 29-11-2008

nestatrepa · Mensaje por **nestatrepa** » 29 Nov 2008, 20:55

Perdonar mi ignorancia si hay algo que no estoy haciendo bien...

Mensaje por **msc hotline sat** » 29 Nov 2008, 21:16

De momento vas mprogresando, solo falta que nos envies los ficheros tal como indicamos y lances un windowsupdate para actualizar los parches de seguridad.

Y si algo no entiendes, preguntanoslo :wink:

saludos

ms, 29-11-2008

nestatrepa · Mensaje por **nestatrepa** » 29 Nov 2008, 22:46

Creo que debe haber algo que no estoy haciendo bien...creí que los había enviado.

Gracias por buestra paciencia.

Un saludo

Mensaje por **lucl** » 29 Nov 2008, 22:53

No necesariamente quiere decir que las hayas enviado mal, acuerdate que hoy es sabado y no hay nadie en la ofi hasta el lunes que los analizaran , puedes o repetir el envio o esperar al lunes y ver si llegaron bien , saludos

nestatrepa · Mensaje por **nestatrepa** » 29 Nov 2008, 22:55

Gracias, hare eso...esperaremos hasta el lunes.

Buen fin de semana.

Un saludo

Mensaje por **msc hotline sat** » 01 Dic 2008, 12:29

Detectadaas dos nuevas variantes de VUNDO5 y CONHOOK en las muestras enviadas:

Se implementa su control y eliminacion en la version 17.53 del ELISTARA de hoy

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 1-12-2008

nestatrepa · Mensaje por **nestatrepa** » 01 Dic 2008, 19:34

Gracias, gracias y mil gracias...Arregladoooooooooo!!!!

Mensaje por **lucl** » 01 Dic 2008, 21:02

De nada, pero por favor peganos el infosat para que veamos el resultado y quede para el historico del foro, saludos

Mensaje por **msc hotline sat** » 01 Dic 2008, 21:09

y felicidades... ya ves que lo estas haciendo muy bien !!! :mrgreen:

saludos

ms, 1-12-2008

nestatrepa · Mensaje por **nestatrepa** » 02 Dic 2008, 19:22

Sat Nov 29 20:05:11 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

Entrada Eliminada [HKLM\...\Run] "807958e9"="rundll32.exe "C:\WINDOWS\system32\gmupsdak.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\GMUPSDAK.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GMUPSDAK.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 29 20:22:02 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 01 18:07:35 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

Entrada Eliminada [HKLM\...\Run] "807958e9"="rundll32.exe "C:\WINDOWS\system32\citsihfs.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\CITSIHFS.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CITSIHFS.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\FCCARRPF.DLL.Muestra EliStartPage v17.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 01 19:20:25 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\FRMWRK32.EXE --> FakeAlert Renombrado a .VIR

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\UNIQ.TLL --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\AHTN.HTM --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Framework Windows"="frmwrk32.exe"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 01 19:22:54 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCARRPF] -> C:\WINDOWS\SYSTEM32\fccArrPF.dll

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\FRMWRK32.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\FCCARRPF.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\fccArrPF.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

nestatrepa · Mensaje por **nestatrepa** » 02 Dic 2008, 19:24

Ahora si, nooo?

Un saludo. :wink:

Mensaje por **msc hotline sat** » 02 Dic 2008, 19:30

Sí, pero...

mira lo que aun dice; ~~[b]~~[i]No detectado SP3 de Windows XP[/i][/b]

No te olvides de lanzar un windowsupdate e instalar el SP3 y posteriores, como el MS08-067, imprescinible para evitar la intrusion del Comficker, entre otros...

Pero te aprobamos :mrgreen: , bastante has trabajado :roll:

y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 2-12-2008

WARNING!! Dangerous Spyware (SOLUCIONADO)

WARNING!! Dangerous Spyware (SOLUCIONADO)

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware

Re: WARNING!! Dangerous Spyware