Ayuda, creo que sigo infectado

gonzo1963 · Mensaje por **gonzo1963** » 09 Nov 2005, 21:04

Se me ha colado un bicho (spyware) en el ordenador del curro, he eliminado un montón de spyware con "CWShredder", "Spybot - Search & Destroy" and "Ad-Aware".

Pero creo que sigue infectado porque de vez en cuando me aparece en la parte superior una barra flotante indicándome en inglés que mi ordenador está infectado que la pulse para obtener ayuda.

Para asegurarme le he pasado el HijackThis pero no me deja hacer mucho más. He intentado ponerlo en el analizador de http://hjt.iamnotageek.com/ pero no me deja ponerlo porque me dice que estoy añadiendo html al log lo cual es falso. Exáctamente me dice:

"Critical Error! Your log contains HTML tags. Valid HijackThis logs should not have HTML tags. Are you *sure* you're using this system for analysing your HijackThis logs? ;) "

¿Me puede echar una mano alguien?, el log el siguiente ya se que es largo pero no me ha dejado ni cortar procesos:

Running processes:

C:\Windows\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\spoolsv.exe

C:\COMPAQ\ACLIENT\ACLIENT.exe

C:\Archivos de programa\CA\SharedComponents\CAM\bin\cam.exe

C:\Archivos de programa\Compaq\Compaq Management Agents\cpqalert.exe

C:\Windows\Cpqdiag\Cpqdfwag.exe

C:\ARCHIV~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe

C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

C:\Windows\Explorer.EXE

C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\SxpInst\sxplog32.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\Compaq\COMPAQ~1\CHKADMIN.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Corel\WordPerfect Office 2000\programs\dad9.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

C:\cesus\tngsd\BIN\SDSERV.EXE

C:\Archivos de programa\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

C:\Windows\system32\MsPMSPSv.exe

C:\Windows\system32\ahfp.exe

C:\cesus\tngsd\BIN\TRIGGAG.EXE

C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE

C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe

C:\ARCHIV~1\Compaq\COMPAQ~1\cpqdmi.exe

C:\Windows\system32\wuauclt.exe

C:\Documents and Settings\varelaaa\Mis documentos\disco D antiguo\Upth\Rev\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.madrid.org/infomadrid/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cam.telefonica-data.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.46.156.*;10.46.158.*;10.128.17.*;*.salud.madrid.org;*.icm.es;www.westlaw.es;*.aranzadi.es;intranet.madrid.org;*.cesus.es;*.sanidadmadrid.org:4444;*.sanidadmadrid.org:4443;correoweb.madrid.org;www.bvaleprofesional.*;www.bvaleusuario.*;icm022w2apl;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\varelaaa\MISDOC~1\DISCOD~1\Upth\Prueba\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [Sxplog] C:\SxpInst\sxpstub.exe

O4 - HKLM\..\Run: [SDJobCheck] triggusr.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ChkAdmin] C:\ARCHIV~1\Compaq\COMPAQ~1\CHKADMIN.EXE

O4 - HKLM\..\Run: [C3.tmp] C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

O4 - HKLM\..\Run: [C3.tmp.exe] C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

O4 - HKLM\..\RunServices: [CPQDFWAG] C:\Windows\Cpqdiag\CpqDfwAg.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Desktop Application Director 9.LNK = C:\Archivos de programa\Corel\WordPerfect Office 2000\programs\dad9.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Documents and Settings\varelaaa\Mis documentos\disco D antiguo\Upth\Prueba\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Documents and Settings\varelaaa\Mis documentos\disco D antiguo\Upth\Prueba\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0a454840-7232-11d5-b63d-00c04faedb18} -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = salud.madrid.org

O17 - HKLM\Software\..\Telephony: DomainName = salud.madrid.org

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA7E276-57C6-4B92-B0D1-4846953F6290}: Domain = salud.madrid.org

O17 - HKLM\System\CCS\Services\Tcpip\..\{40196C6C-A34F-4327-989B-07AB7194B452}: NameServer = 10.80.34.86,10.80.0.10

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = salud.madrid.org

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = salud.madrid.org,icm.es,madrid.org

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = salud.madrid.org,icm.es,madrid.org

O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxsrvc.dll

O23 - Service: Altiris Client Service (AClient) - Altiris, Inc. - C:\COMPAQ\ACLIENT\ACLIENT.exe

O23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\Windows\system32\ahfp.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Unicenter Message Queuing Server (CA-MessageQueuing) - Computer Associates International, Inc. - C:\Archivos de programa\CA\SharedComponents\CAM\bin\cam.exe

O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Archivos de programa\Compaq\Compaq Management Agents\cpqalert.exe

O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\Windows\Cpqdiag\Cpqdfwag.exe

O23 - Service: cpqdmi - Compaq Computer Corporation - C:\ARCHIV~1\Compaq\COMPAQ~1\cpqdmi.exe

O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\ARCHIV~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe

O23 - Service: CTGG - Unknown owner - C:\DOCUME~1\ava3\CONFIG~1\Temp\CTGG.exe (file missing)

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: JAWD - Unknown owner - C:\DOCUME~1\ava3\CONFIG~1\Temp\JAWD.exe (file missing)

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe

O23 - Service: OracleMTSRecoveryService - Unknown owner - c:\Producto\Oracle9\bin\omtsreco.exe (file missing)

O23 - Service: OracleOracle9ClientCache - Unknown owner - c:\Producto\Oracle9\BIN\ONRSD.EXE (file missing)

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

O23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\cesus\tngsd\BIN\SDSERV.EXE

O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Archivos de programa\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

Mensaje por **msc hotline sat** » 10 Nov 2005, 15:13

De entrada vaya a esta carpeta y nos empaqueta el fichero en cuestion en un ZIP con password VIRUS:

C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

y nos lo envia anexado a un mail en cuyo texto indique la referencia "REF GONZO" , y tras su analisis le informaremos e implementaremos su control y eliminacion en alguna de bnuestras utilidades, segun lo que sea, como indicaremos.

Luego elimine estas tres claves en consecuencia:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [C3.tmp] C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

O4 - HKLM\..\Run: [C3.tmp.exe] C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

Es que la ejecucion de un fichero en una clave RUN, que está dentro de una carpeta temporal y que tiene doble extension .TMP.EXE es de hackers novatos !!!

Posiblemente esté oculto, o con atributos de sistema. Configure su windows de forma que pueda verlos todos.

Luego analizo mas a fondo el log y prosigo, pero de entrada haz lo indicado, gracias

salidos

ms, 10-11-2005

Mensaje por **msc hotline sat** » 10 Nov 2005, 15:51

ELIMINAR además:

O23 - Service: CTGG - Unknown owner - C:\DOCUME~1\ava3\CONFIG~1\Temp\CTGG.exe (file missing)

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: JAWD - Unknown owner - C:\DOCUME~1\ava3\CONFIG~1\Temp\JAWD.exe (file missing)

O23 - Service: OracleMTSRecoveryService - Unknown owner - c:\Producto\Oracle9\bin\omtsreco.exe (file missing)

O23 - Service: OracleOracle9ClientCache - Unknown owner - c:\Producto\Oracle9\BIN\ONRSD.EXE (file missing)

Hay muchas otras claves con referencia a web de la salud.madrid.org, como esta:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.46.156.*;10.46.158.*;10.128.17.*;*.salud.madrid.org;*.icm.es;www.westlaw.es;* .aranzadi.es;intranet.madrid.org;*.cesus.es;*.sanidadmadrid.org:4444;*.sanidadma drid.org:4443;correoweb.madrid.org;www.bvaleprofesional.*;www.bvaleusuario.*;icm 022w2apl;

por lo que entiendo que puede tratarse de algo de su trabajo, pero diganoslom porque sino hay un monton a eliminar...

Tras eliminar las indicadas y habernos enviado la muestra pedida, reinicie, y sea si los problemas persisten o no, y nos informa de todo ello como respuesta de este tema, graciss

saludos

ms, 10-11-2005

Su servidor de DNS apunta a 10.80.34.86, 10.80.0.10 y son direcciones reservadas, por las que no se puede identificar al propietario ??? Consulte con su proveedor de internet (ISP) las direcciones recomendades como dervidor DNS, y so no son estas que tiene programadas, una vez sabidas, las implanta con el CONFGDNS.EXE:

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

ms.

gonzo1963 · Mensaje por **gonzo1963** » 10 Nov 2005, 19:57

[quote="msc hotline sat"]
De entrada vaya a esta carpeta y nos empaqueta el fichero en cuestion en un ZIP con password VIRUS:

C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

y nos lo envia anexado a un mail en cuyo texto indique la referencia "REF GONZO" ... [/quote]
Ante todo gracias por la respuestas.

Le he pasado un antivirus actualizado (Kaspersky) al PC y ese archivo me ha detectado: "not-virus:Hoax.Win32.SpyWare.a", lo he guardado en la carpeta de cuarentena, si quieren se lo envío para que lo analicen, pero ¿cuál es la dirección de e-mail?.

[quote="msc hotline sat"]
Hay muchas otras claves con referencia a web de la salud.madrid.org, como esta:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.46.156.*;10.46.158.*;10.128.17.*;*.salud.madrid.org;*.icm.es;www.westlaw.es;* .aranzadi.es;intranet.madrid.org;*.cesus.es;*.sanidadmadrid.org:4444;*.sanidadma drid.org:4443;correoweb.madrid.org;www.bvaleprofesional.*;www.bvaleusuario.*;icm 022w2apl;

por lo que entiendo que puede tratarse de algo de su trabajo...[/quote]
Efectivamente, salud.madrid.org es el servidor al que está conectada la red del trabajo.

[quote="msc hotline sat"]
Su servidor de DNS apunta a 10.80.34.86, 10.80.0.10 y son direcciones reservadas, por las que no se puede identificar al propietario ??? [/quote]
Supongo que sí serán direcciones reservadas, ya que el ordenador está conectado a una red.

Mensaje por **msc hotline sat** » 10 Nov 2005, 20:16

Efectivamente, indiqué la forma pero no la direccion

[quote="msc"]
De entrada vaya a esta carpeta y nos empaqueta el fichero en cuestion en un ZIP con password VIRUS:

C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

y nos lo envia anexado a un mail en cuyo texto indique la referencia "REF GONZO" , y tras su analisis le informaremos
[/quote]

que es zonavirus@satinfo.es

Es curioso que Kaspersky indique que es un HOAX, pues estos acostumbran a ser EML, DOC, TXT, pero nunva .TMP.EXE, esto lo usan los virus para despistar, pues el usuario ve <fichero>.TMP y se piensa que es un temporal, pero la extension real es .EXE final, siendo lo demás parte del nombre, pero vamos, que no pongo en duda lo que indica Kaspersky ya que él lo ha analizado, y nosotros no.

Envianoslo y estaremos en igualdad de condiciones y podremos opinar con conocimiento de causa, indicandotelo como respuesta de este Tema

Y con todo esto ya controlado, dinos si el problema de la barra persiste o no, para proponerte eliminar mas claves, hasta que se resuelva el problema.

Sobre la razon del porqué el analizador no te funcionó, es posible que sea porque a tu log le falta la cabecera, donde hay datos de la version del HJT usado, del sistema operativo, de los parches y demás, lo cual conviene incluirlo para conocimiento del analizador, que si es personal puede soslayarse y punto, pero si es una web...

saludos

ms, 10-11-2005

gonzo1963 · Mensaje por **gonzo1963** » 10 Nov 2005, 20:34

[quote="msc hotline sat"]Efectivamente, indiqué la forma pero no la direccion

[quote="msc"]
De entrada vaya a esta carpeta y nos empaqueta el fichero en cuestion en un ZIP con password VIRUS:

C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

y nos lo envia anexado a un mail en cuyo texto indique la referencia "REF GONZO" , y tras su analisis le informaremos
[/quote]

que es zonavirus@satinfo.es
[/quote]
Tengo Windows XP Prof y lo he logrado comprimir pero no se como ponerle un password ya que en este PC (el supuestamente infectado) no tengo ningún programa de compresión y no quiero tocar más ya que es el del trabajo. Si quieres me lo llevo a casa y mañana te lo envío con el password que me indicas.

[quote="msc hotline sat"]Y con todo esto ya controlado, dinos si el problema de la barra persiste o no, para proponerte eliminar mas claves, hasta que se resuelva el problema.[/quote]

Parece que con este archivo eliminado no ha vuelto a aparecer la barra pero en un nuevo log del HijackThis las claves del registro que mencionas en tu post siguen existiendo.

[quote="msc hotline sat"]Sobre la razon del porqué el analizador no te funcionó, es posible que sea porque a tu log le falta la cabecera, donde hay datos de la version del HJT usado, del sistema operativo, de los parches y demás, lo cual conviene incluirlo para conocimiento del analizador, que si es personal puede soslayarse y punto, pero si es una web...[/quote]
Posiblemente en el log que puse en mi primer post de este hilo se me cortó el encabezado pero en el log que envié al analizador automático sí le mandé el encabezado, así que no se qué pudo pasar porque otras veces he puesto logs y no he tenido este problema

Mensaje por **msc hotline sat** » 11 Nov 2005, 07:59

Cuando con el WINZIP o WINRAR empaquetas algo, te ofrece ponerle password, y asi lom encripta oara que nadie lo pueda abrir, pero ademas, y es lo que nos onteresa, no lo intercepta ningun antivirus que pueda haber por el camino.

Si no lo logras, envianoslo sin passwrd, y si nos llega sin el fichero ya te lo diremos...

Por otro lado si se ha solucionado el problema, deja de estar el log, que solo deben eliminarse las claves hasta que los problemas se soluciones, no mas, ya que una claveeliminada por error puede hacer mas daño que una por exceso !

A la recepcion del fichero ya informaremos

saludos

ms, 11-11-2005

gonzo1963 · Mensaje por **gonzo1963** » 11 Nov 2005, 17:09

Ya se lo he enviado, pero desde otra dirección de correo diferente a la de mi suscripción, ya que gmail no me deja adjuntar archivos que contengan algo con la extensión .exe.

Mensaje por **msc hotline sat** » 11 Nov 2005, 19:48

La direccion desde donde nos lo envie no es problema, pero lo que nos cuenta de que no le permite enviar EXE, si justamente le pediamos que nos enviara un ZIP con password VIRUS ???

[quote="gonzo1963"] Ya se lo he enviado, pero desde otra dirección de correo diferente a la de mi suscripción, ya que gmail no me deja adjuntar archivos que contengan algo con la extensión .exe.
[/quote]

En cualquier caso cuando lo recibamos en la forma que sea ya lo veremos y podremos informarle al respecto

saludos

ms, 11-11-2005

gonzo1963 · Mensaje por **gonzo1963** » 11 Nov 2005, 20:03

[quote="msc hotline sat"]La direccion desde donde nos lo envie no es problema, pero lo que nos cuenta de que no le permite enviar EXE, si justamente le pediamos que nos enviara un ZIP con password VIRUS ???[/quote]
Lo envío en un fichero que se llama: "C3.tmp.zip" con password: VIRUS, pero gmail al adjuntarlo debe "escanear" y detectar que en su interior hay un archivo ejecutable y desde el correo web no me deja mandarlo, por eso lo he tenido que mandar desde una cuenta de yahoo que parece que no detecta este problema.

Mensaje por **msc hotline sat** » 11 Nov 2005, 20:17

Bien, cuando lo recibamos lo analizaremos y pasaremos a informarle al respecto.

saludos

ms, 11-11-2005

Mensaje por **msc hotline sat** » 14 Nov 2005, 13:17

Recibida la muestra.

De entrada debo decirte que no es un Hoax como lo que entendemos normalmente con ello, sino que es una herramienta de hackers, el spyfighter

De entrada hemos encontrado esta descripcion de Panda:

[quote="Panda"]
SpyFighter:

Nombre común: SpyFighter

Nombre técnico: Application/SpyFighter

Peligrosidad: Baja

Tipo: Herramientas de Hacking

Efectos: Permite realizar acciones peligrosas para las víctimas de los ataques.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98

Fecha de detección: 06/10/2005

Detección actualizada: 06/10/2005

¿Está en circulación? No

Descripción Breve

SpyFighter es una herramienta de hacking. Estos programas permiten a los hackers realizar alguna de las siguientes acciones: escanear puertos, realizar ataques de denegación de servicio, enviar cantidades masivas de mensajes de correo electrónico, etc.

Estas herramientas, si bien no poseen naturaleza vírica, son consideradas peligrosas para las víctimas de los ataques.

Información actualizada: 06/10/2005
[/quote]

Es un residente que se carga en la clave RUN indicada,

Eliminando el fichero y la clave ya se eliminarña el riesgo, pero sino, la clave lo cargaba cada vez que se reiniciava windows, permitiendo las acciones remotas malwares indicadas en la descripcion.

Manualmente ya puedes eliminar la clave con el HJT

O4 - HKLM\..\Run: [C3.tmp] C:\DOCUME~1\varelaaa\CONFIG~1\Temp\C3.tmp.exe

y tras reiniciar, eliminar el fichero, pero cuidado a considerarlo un HOAX... no es un nombre nada apropiado y es muy extraño que Karspersky lo haya bautizado así. Es un hacktool !!!

En la proxima version del ELISTARA que estamos haciendo, ya estara contemnplado su control y eliminacion de fichero y clave

saludos

ms, 14-11-2005

gonzo1963 · Mensaje por **gonzo1963** » 14 Nov 2005, 17:36

Muchas gracias por la ayuda, y ya por último y a título de curiosidad, ¿qué es ELISTARA?

Mensaje por **msc hotline sat** » 14 Nov 2005, 17:55

El ELISTARA.EXE es la utilidad mas descargada de nuestras utilidades en el foro. Es un complemento de antivirus y antispywares donde vamos implementando los controles de todo lo refereente a malwares de navegacion en Internet:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 14-11-2005

nota: Amtes de las 19 horas de hoy estará disponible en esta web la version 10.59 del ELISTARA que ya controlará el Hacktool Spyfighter cuya muestra nos ha enviado

saludos

ms, 14-11-2005

Mensaje por **msc hotline sat** » 14 Nov 2005, 18:34

Ya se ha subido a esta web la version 10.59 del ELISTARA.EXE

---v10.59-(14 de Noviembre del 2005) (Muestras de Look2Me, SpyFighter)

Pruebela y nos comenta el resultado, gracias

saludos

ms, 14-11-2005

Ayuda, creo que sigo infectado

Ayuda, creo que sigo infectado

Aquí de nuevo

Va en camino

Gracias