Intento de acceso de un falso anti-spyware desconocido (SOLUCIONADO)

[jmcasas]

Hola a tod@s de nuevo.



Siento tener que volver a comentar en el foro tan pronto después de mi experiencia de la semana pasada con el XP Anti-Spyware 2011, pero esta vez la cosa ha sido en el ordenador de mi mujer y desgraciadamente no puedo dar muchos datos al respecto porque no estaba cuando pasó.



El SO de mi mujer es Windows 7. Después de lo que me pasó a mí con el XP Anti-Spyware 2011, le descargué el EliPen y le protegí el disco duro. Además, tiene el Spybot 1.6.2 residente y Avast! 2011 actualizado, así como la versión gratuita de Malwarebytes Antimalware como apoyo.



Según me dijo, hace dos noches apareció una ventana de un supuesto anti-spyware diciendo lo de siempre, que tenía el ordenador comido de bichos y que tenía que darle a un botón para limpiarlos. Como yo ya le había puesto sobre aviso después de mi experiencia, no tocó nada sino que arrancó el administrador de tareas para cerrar la ventana y luego reinició el ordenador. Pero con el nerviosismo (no tiene demasiada experiencia con estas cosas) no apuntó ningún detalle del supuesto antispyware (jura y perjura que es el WindowsDefender, pero se supone que ese es un programa gratuito de Microsoft, no?)



Cuando yo llegué y me lo contó, arranqué en modo seguro y ejecuté el Spybot (detectó 3 amenazas, pero ninguna importante. Por cierto, genera informes el Spybot? No se dónde encontrarlos), el MBAM (no detectó nada más) y el Avast! (tampoco detectó nada), y le dije que observara el ordenador para ver si hacía cosas raras.



Hoy me ha dicho que detecta cierto retraso entre la pulsación de las teclas y la escritura en el Word 2007. Yo lo he probado y a mí no me lo parece, pero aún así decidí descargar el EliStarA y ejecutarlo en modo seguro.



El EliStarA no ha detectado ningún archivo infectado, pero me ha dado varios mensajes durante el análisis:



Detectado Alureon(mbr) en MBR de HD0

Restaurado MBR del HD0

Acceso denegado a la carpeta C:\ProgramData\Microsoft\WwanSvc\Profiles (8210)

Acceso denegado a la carpeta C:\Users\All users\Microsoft\WwanSvc\Profiles (8210)

Acceso denegado a la carpeta C:\Windows\Registration\CRMlog (16)

Acceso denegado a la carpeta C:\Windows\System32\com\dmp (16)

Acceso denegado a la carpeta C:\Windows\System32\LogFiles\WMI\RtBackup (16)

Acceso denegado a la carpeta C:\Windows\SysWOW64\dmp (16)



Aquí está el InfoSAT:



(13-4-2011 18:05:55 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(13-4-2011 18:05:58 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



(16-4-2011 14:30:17 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: Isa

Sesión de Usuario: Isa

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "userinit.exe"

[Userinit actual] = "C:\WINDOWS\SYSWOW64\Userinit.exe,userinit.exe,"

Eliminados Ficheros Temporales del IE

Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0



(16-4-2011 14:42:55 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: Isa

Sesión de Usuario: Isa

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32971

Nº Total de Ficheros: 244556

Nº de Ficheros Analizados: 42155

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Por lo que he leído el Alureon es un RootKit, así que el EliStarA ha vuelto a salvarme el trasero! Bendito sea ese programa!



Pero me preocupan esos mensajes de denegación de acceso. Creéis que puedo dar por cerrada la infección o me aconsejaríais alguna otra acción?



Desde ya, muchas gracias!

[msc hotline sat]

El windows 7 es un sistema protegido que, como tal, impone limitaciones.



Es posible que te faltaran derechos de Administrador. Lo hiciste como decimos ??? en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=32402



pruebalocomo indicamos, si no lo hiciste así...





y como que te detectó y solucionó lo del ALUREON:



[b][i]Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0[/i][/b]



Conviene asegurarse que no tengas el worm VBNA que es uno de los que lo descarga, por ello prueba el ELIVBNA, a ver si lo detectas y eliminas:



[b] ELIVBNA.EXE [/b]

http://www.zonavirus.com/descargas/elivbna.asp





Tras todo ello, posteanos de nuevo el infosat.txt, en el que se habrá añadido, al final, los nuevos examenes.



Y al respecto del VBNA y sus derivados, mira lo último que deciamos ayer de él en:



http://www.zonavirus.com/noticias/2011/y-como-siempre-nuevas-variantes-de-worm-vbna-descargan-nuevas-variantes-de-boaxe-alureon-katusha-y-fake-av-renos.asp



Todo ello logra instalar un FAKE ALERT distinto en cada ocasion, que pudiera ser esta vez el que dices que aparenta ser el de Microsoft...



Mañana salgo de viaje y estaré toda la semana en medio del Oceano, sin conexion. A ver si lo podemos resolver hoy !!!



Tan pronto hayas hecho lo indicado, posteanos los informes y lo que descubraa al respeto, gracias.



saludos



ms, 16-4-2011

RUKBRIST





NOTA: De todas formas es posible que el fake alert se quedara con las ganas de instalarse, por lo que hizo su esposa con lo que indica [b][i]" no tocó nada sino que arrancó el administrador de tareas para cerrar la ventana y luego reinició el ordenador"[/i][/b]

Parece que es verdad lo de que "Dios los crea y ellos se juntan", podría decirse que tal para cual !!!, Felicidades Isa, no podia hacerlo mejor :) ms.

[jmcasas]

Hola de nuevo!



He intentado "ejecutar como administrador" (botón derecho del ratón) el EliStarA en modo seguro y sigue sufriendo la denegación de acceso a esas carpetas.



Idem con el EliVBNA (que por cierto no ha detectado nada).



Aquí está el InfoSAT (sólo las nuevas listas añadidas después de estos análisis):



(16-4-2011 21:59:26 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: Isa

Sesión de Usuario: Isa

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(16-4-2011 22:09:19 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: Isa

Sesión de Usuario: Isa

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32971

Nº Total de Ficheros: 244521

Nº de Ficheros Analizados: 42166

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-4-2011 22:11:25 (GMT))

EliVBNA v2.15 (c)2011 S.G.H. / Satinfo S.L.Modificado el 14 de Abril del 2011)

-------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32971

Nº Total de Ficheros: 244522

Nº de Ficheros Analizados: 22311

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Lo de que "Dios los cría y ellos se juntan" ¿es porque los dos hemos tenido problemas con fake antispywares en menos de una semana? :lol:



Por cierto, ¿por qué hay tanto fake antispyware últimamente? Yo visito a veces páginas de riesgo, pero mi mujer utiliza el ordenador sólo para trabajar, ver el correo y acceder a Facebook. Según me dijo, estaba buscando documentos de psicología para un máster que está haciendo cuando le vino el ataque.



Gracias por todo y un saludo.

[msc hotline sat]

No, lo de "Dios los crea y ellos se juntan" es por la intuición y "buen hacer" que ambos tienen con los problemas informáticos, demostrando que la excepción confirma la regla en lo de que el sentido comun es el menos común de los sentidos. En su caso tienen de todo, hasta fakes ! :)



Y la segunda pregunta, sobre tantos fake alert actuales, me la hacía tambien yo hace pocos días, y la respuesta la obtuve en el Lizamoon, como verá en http://web5.zonavirus.com/la_relacion_entre_tantos_fake_alert_rogues_aparecidos_en_los_ultimos_dias_y_el_lizamoon/181722/



Por lo demás parece que el Fake Alert de su esposa lo obtuvo por navegación, sin que fuera la historia del worm VBNA el que se lo intrudojera, y posiblemente pilló el ALUREON simultaneamente, y eso es fácil dado que los temporales que se ejecutan desde internet y lo generan, son muy poco detectados, (por poco mas de una decena de AV actuales) como verá en el informe de la última noticia al respecto:



http://www.zonavirus.com/noticias/2011/nuevas-variantes-de-temporales-descargados-por-el-vbna-que-generan-infeccion-de-alureon-en-el-mbr.asp



Aunque no tienen que ser generados necesariamente por el VBNA, aunque este lo haga.



Lo malo de estos temporales generadores del ALUREON es que una vez ingresados, si no los controla el antivirus residente, hacen su faena (infectar el MBR con el RootKit indicado) y se autoeliminan, borrando pistas...



Creo que actualmente este ordenador ya ha pasado "la gripe" y solo cabe vigilar como ya saben, y para cuando vuelvan a caer en la tentación... :roll: , ya saben donde estamos :mrgreen:



Estaré fuera esta semana, aislado en medio del oceano, pero mis compañeros del foro les atenderán si tienen algun nuevo problema.



Y dando este Tema por solucionado, procedemos a cerrarlo



saludos y cuidense, que navegando por internet es muy fácil ser presa de los tiburones... pero no hace falta decírselo, verdad ?



hasta la próxima !



ms, 17-4-2011