freeprodtb nuevo virus¿????? (SOLUCIONADO)

juan · Mensaje por **juan** » 20 Jun 2006, 20:43

Hola de nuevo...

acaba de entrarme un nuevo virus se llama freeprodtb...a partir de que me ha entrado..ac escasamente media hora...el orde se me ralentiza muchisimo aparece paginas q no pido..y mi antivirus mc affe me dice q me estan entrando troyanos de no se q tipo---asi q eso os cuento he intentado pasa el antivirus pero no va...q hago? me suicido? tiro el ordenador? corre peligro mi disco duro?

Mensaje por **msc hotline sat** » 20 Jun 2006, 21:52

Si tienes el fichero donde lo detectas envíanoslo a zonavirus@satinfo.es con la referencia REF FREEPROD y lo analizaremos y pasaremos a controlar Y eliminar con la próxima versión del ELISTARA

Se trata de un spyware

Por si el actual ELISTARA detectara algo o pidiera muestras de algún que otro sospechoso pruebalo:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

y coméntanos el resultado posteando el contenido de C:\infosat.txt , gracias

saludos

ms, 20-6-2006

juan · Mensaje por **juan** » 22 Jun 2006, 12:11

Hola.

He pasado la ultima version del elistara q me decias. He seguido sus pasos:

me dijo q os enviara tres archivos q tengo apuntados a vuestro correo electronico...lo q no se es como encontrar esos archivos.

Elimine los sitios que me decia...

limpie el fichero hosts

me dijo no habia detectado el parche ms06-001 de microsoft

y cuando se ponia a eliminar temporales de ie...se quedaba trabao...y nada...una vez se me apago solo el ordenador...y la siguiente pues tuve yo q apagar xq aquello no iba ni pa tras! lo pase en modo seguro.

Lo q voy a hacer ahora es enviaros el icono q me ha salido en el escritorio, q pone freeprodtb

Un saludo...a ver si acabamos con este virus. pOR CIERTO CORRE PELIGRO MI INFO DEL DISCO DURO? XQ SI TAL HAO UNAS COPIAS DE SEGURIDAD EN CDS.

La verdad q desde q me entro el virus la cpu esta super ocupada, el ordenador no para de pensar y supongo q eso no sea bueno para el disco duro. es un portatil tosiba.

gracias.

Mensaje por **msc hotline sat** » 22 Jun 2006, 12:17

Empieza por eliminar los temporales con el navegador, ya que por lo visto tienes conflictos en ello:

I.E. -> Herramientas -> Opciones de Internet -> Eliminar cookies y Temporales

Tras ello prueba de nuevo el ELISTARA

Luego posteanos el contenido de C:\infosat,txt y te indicaremos los ficheros a enviar (lo veras tu mismo)

saludos

ms, 22-6-2006

Mensaje por **msc hotline sat** » 22 Jun 2006, 18:06

Hemos recibido muestra del fichero pedido FREEPROD.EXE el cual resulta ser un dropper que nos ha generado mas troyanos ...

No habiendo tiempo para controlarlos todos hoy, se ha cerrado el ELISTARA 11.93 sin ellos, con los cuales se está trabajando ahora y pasaran a ser controlados por el ELISTARA 11.94 de mañana

saludos

nsm 22-6-2006

juan · Mensaje por **juan** » 22 Jun 2006, 19:06

Hola de nuevo!

Que seria de mi sin este foro!!!!?? Muchas gracias por existir! jeje

Bueno...he intentado pasar el elistara de antes pero me sigue dando el mismo problema, q es q cuando se pone a borrar las ie pues se traba y no hace nada...las elimine como tu me decias a traves del explorer..elimine todo hasta el historial...lo intente otra vez pero nada..el mismo problema.

Sigo teniendo los mismos problemas de antes.

A ver si con la version de mañana se soluciona...si tienes alguna otra idea pues comentamela si puedes.

un saludo!

juan · Mensaje por **juan** » 23 Jun 2006, 10:37

He intentado pasr otra vez el elistara pero nada me da el mismo problema.

Mensaje por **msc hotline sat** » 23 Jun 2006, 10:41

Hoy subiremos la que estamos haciendo ...

"No habiendo tiempo para controlarlos todos hoy, se ha cerrado el ELISTARA 11.93 sin ellos, con los cuales se está trabajando ahora y pasaran a ser controlados por el ELISTARA 11.94 de mañana"

Cuando la hayas descargado, la priebas y nos cuentas...

saludos

ms, 23-6-2006

Mensaje por **msc hotline sat** » 23 Jun 2006, 14:04

Subida a esta web la nueva version:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 23-6-2006

juan · Mensaje por **juan** » 24 Jun 2006, 13:23

Hola,

Acabo de bajar el elistara ultimo y nada, me sigue dando el mismo problema...se me traba cuando se pone a eliminar las IE.

Tambien decirte q ayer se me puso la pantalla azul con un mensaje q decia esto:

STOP:C000021a

El proceso del sistema windows logon process temino inesperadamente con un estado de 0xc00000005

Se ha apagado el sistema.

Yo no tengo ni idea de lo q eso significa pero...creo q nada bueno...q hago??

Mensaje por **msc hotline sat** » 24 Jun 2006, 13:38

Pues arramca en modo seguro en solo simbolo de sistema y desde donde tengas copiado el ELISTARA lo ejecutas con la opcion /SALTAREG o si prefieres hacerlo desde windows, pulsa en INICIO -> EJECUTAR -> ELISTARA /SALTAREG

Debes tener dañado el registro, por esto saltarenos su examen.

saludos

ms. 24-6-2006

juan · Mensaje por **juan** » 26 Jun 2006, 23:14

Pues he arrancado el orde en mode seguro (no se lo q quieres decirme con eso de en solo simbolo de sistema)

Lo he intentado con la segunda opcion q dices y nada me sale una ventanita rectangular q me dice Q WINDOWS NO puede encontrar el archivo.....tal tal y tal...

Mensaje por **msc hotline sat** » 27 Jun 2006, 11:13

El tercero de los modos de arranque en modo seguro es MODO SEGURO CON SOLO SIMBOLO DE SISTEMA

Arranca en dicho modo, y desde MSDOS, te vas con CD (change Directory) a la carpeta donde tienes el ELISTARA y lo ejecutas entrando ELISTARA /SALTAREG

saludos

ms, 27-6-2006

juan · Mensaje por **juan** » 27 Jun 2006, 15:54

hola

he hecho lo q me decias..en entrado en ese modo, y ahi he escrito "cd" intro y salia lo mismo:

documents and setting/...

y entonces he escrito lo de elistara/Saltareg en mayusculas, y ha empezado a ejecutarlo pero pasa igual q antes cuanto se pone a eliminar las ie se traba, esta vez salto una ventanita de windows q decia al go asi como q el programa elistara habia tenido un problema y q debia finalizarse....

bufff este virus esta dando mucho la lata no?

Mensaje por **msc hotline sat** » 27 Jun 2006, 16:17

En MSDOS, el CD es para cambiar el directoprio y debe ir seguido, tras un espacio, de la ruta a donde quieres ir, o sea, donde tengas la utilidad en cuestion.

Por ejemplo si la tienes en C:\VIRUS gas de escribir CD \VIRUS y <ENTER>

Tras ello estarñas en dicho directorio o carpeta y prodras ejecutar el ELISTARA /SALTAREG

saludos

ms, 27-6-2006

juan · Mensaje por **juan** » 27 Jun 2006, 17:19

lo q pasa q yo creo q en mi ordenador sale directamente la ruta en la q esta ubicado el elistara. entonces no necesito buscar la ubicacion, ya q es esa, q me sale por defecto. no?

Mensaje por **msc hotline sat** » 27 Jun 2006, 17:24

Entonces si lo tiene donde le arranca, ekecutando ELISTARA /SALTAREG le arrancará y procederña con las instrucciones programadas. Tras ello le habrá creado un fichero de salida en C:\infosat.txt , mire de postearnos su contenido o nos lo cuenta.

saludos

ms, 27-6-2006

nota: Fijate que entre ELISTARA y /SALTAREG debe haber un espacio, no lo escribas junto ... ms.

juan · Mensaje por **juan** » 27 Jun 2006, 18:06

Exacto lo tengo donde me arranca, he movido el archivo, lo tenia en una subcarpeta de dnd me arrancaba y lo tengo donde me arranca. Asi q lo ejecuto pero me sigue dando el mismo problema, se queda trabado eliminando las ie.

Yo no sé si me habrá creado un fichero de salida en C:\infosat.txt Donde lo puedo ver?? Aunque si no ha acabado no creo q lo haya creado no?

Mensaje por **msc hotline sat** » 27 Jun 2006, 18:27

Puede ser que tengas temporales del I.E. que deberñas borrar abriendo el I.E., yendo a Herramientas -> Opciones de Intermet -> Eliminar Temporales (ficheros y cookies)

Tras ello vuelve a lanzar el ELISTARA en la forma indicada, o ya mira si puedes desde windows sin lo del /SALTAREG

saludos

ms, 27-6-2006

juan · Mensaje por **juan** » 28 Jun 2006, 00:25

He borrado las ie desde el explorador Todas. Y nada. Lo he pasado de las dos formas y siempre se traba, no responde, cuando llega a lo de las IE.

No se si te servirá pa algo pero me salen estas cosas...

Al reiniciar el orde, cuando se traba el elistara..me sale una ventanita q en su parte superior izda pone esto: RUNDLL y ya dentro de la ventanita pone: Ha ocurrido una excepcion al intentar ejecutar: ""c:/WINDOWS/system32/wkosf.dll"DllGetVersion"

Y tambien:

Una ventana q pone en su parte superior izda: Confirm file replace. Y pone: The following file already exist dotrm.dll Would you like to replace the existing file 38.413 bytes with this one? 39.437 bytes

Me pone para darle diferentes opciones..no no a todo si si a todo...yo siempre le he dado a cerrar...

No se si esto te servira de algo...

seria buena idea hacer cds con info del disco duro..o no hay gran riesgo?

Mensaje por **msc hotline sat** » 28 Jun 2006, 07:32

Sobre si sería buena idea... es que no y

tienes copia de seguridad actualizada de los datos de tu ordenador ??? Es de las primeras normas de informatica ...

Y sobre si sirve para algo lo que indicas, sí, sirve para saber que este ordenador tiene fallos de ejecucion de ficheros por motivos reconocidos, empezando por lo del ELISTARA, siguiendo por la carga del wkosf.dll y por lo de la solicitud de sustucion del dotrm.dll por otro de mas tamaño ??? Nada normal !!!

Mira de enviarnos estos ficheros:

c:/WINDOWS/system32/wkosf.dll

y este dotrm.dll, que promete ser un VUNDO:

"C:\WINDOWS\system32\ww32.exe/dotrm.dll -> Adware.Virtumonde"

Puedes probar tambien si lo conocve el ELISTARA, pero no nos consta, por eso tras examinar las muestras impleentaremos su control y eliminacion en dicha utilidad:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Envianos las muestras a zonavirus@satinfo.es anexadas a un mail con referencia REF VUNDO

saludos

ms, 28-6-2006

juan · Mensaje por **juan** » 28 Jun 2006, 15:34

Hola ms,

Te enviado tres mails con los archivos q me dijiste, no si te habre enviado lo q me pedias u otra cosa...

Tambien he pasado el elistara.asp (en modo normal )este ultimo q me has puesto y cuando se ha puesto a eliminar las ie ha salido una venta na q me decia:

Error en la secuencia de comando de esta pagina.

Linea: 14

cAracter: 1

Error: acceso denegado

Codigo: 0

URL: about:blank ( q es lo q me sale de pagina de inicio) aunq a veces me sale otra)

Y me dice: desea continuar ejecutando los archivos de comando de esta pagina? y yo le di a no. Y depsues me sale otra ventana q me pone Project 1 ha detectado un problema y debe cerrarse.

Por ahora eso es todo...

Mensaje por **msc hotline sat** » 28 Jun 2006, 16:21

Una de las cosas que podras hacer con el ELISTARA es cambiar la pagina de inicio.

Cuando lo hayas pasado, posteanos el contenido de C:\infosat.txt y sabremos como proceder

saludos

ms, 28-6-2006

Mensaje por **msc hotline sat** » 28 Jun 2006, 16:30

Me indican que han entrado las muestras pedidas. Un poco justo para implementarlas esta misma tarde, pero intentaremos implementar su control y eliminacion en la v 11.97 del ELISTARA de hoy mismo.

Seguiremos informando...

saludos

ms, 28-6-2006

juan · Mensaje por **juan** » 28 Jun 2006, 16:55

muchas gracias por aki estare por si necesitais mas files.

Mensaje por **msc hotline sat** » 28 Jun 2006, 17:37

Visto un ComHook, un look2me y un dropper generador de otros troyanos

Estamos implementando su control en el ELISTARA de hoy (vale con el ELINOTIF actual, que deberá copiarse en la misma carpeta que el ELISTARA y ejecutar este)

saludos

ms, 28-6-2006

saludos

ms, 28-6-2006

Mensaje por **msc hotline sat** » 28 Jun 2006, 18:59

Subida nueva version de ELISTARA 11.97

https://foros.zonavirus.com/viewtopic.php?p=60841#60841

Se recuierda que debes copiarla en la misma carpeta en la que copies tambien el ELINOTiF.DLL u tras ello ejecutar el ELISTARA y reiniciar para completar la eliminacion:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

saludos

ms, 28-6-2006

juan · Mensaje por **juan** » 29 Jun 2006, 19:49

Hola,

Pues me he bajado elinotif, y despues el elistara, los dos me los he bajado directamente al escritorio, es decir estan en el mismo sitio. Y nada he pasado elistara pero se acaba trabando igual q antes...

Mensaje por **msc hotline sat** » 29 Jun 2006, 20:39

Mira de eliminar temporales antes de lanzarlo:

I.E.-> Herramientas - Opciones de Internet -> Eliminar cookies y jicheros temporales de Internet

Si tras hacer esto,. el ELISTARA se cuelga al lanzarlo puede ser por tener el registro problematico, en tal caso ejecutalo con la opcion /SALTAREG (CON INICIO -> EJECUTAR o desde MSDOS)

Si tienes problemas, hazlo arrancando en modo seguro con solo simbolo de sistema, te vas al dierctorio dionde los tengas y desde alli lo ejecutas entrando ELISTARA /saltareg

Tendrias que tener el ordenador para el arrastre si asi no pudieras lanzarlo ...

Y por si acaso asi fuera, ejecuta antes el KILL2ME que te podras bajar de:

http://www.zonavirus.com/datos/descargas/210/Kill2Me.asp

saludos

ms, 29-6-2006

juan · Mensaje por **juan** » 30 Jun 2006, 14:58

Hola,

Pues he hecho todo lo q me has dicho y esto sigue sin funcionar, se traba...

Lo primero q me pone nada mas lanzar el elistara es: acceso denegado al fichero: c:/windows/system32/mfxmlr.dll

Y despues...

Enviar:

c:/muestras/SVCHOSTUPDATE.EXE

Q hago os intento buscar estos archivos y os los mando???