Hola. El caso es que ayer me enviaron un link (un contacto del messenger) y por estar pensando en otras cosas no sospeché y pinché. Redireccionaba a una página escrita en griego. Y ahí, al abrirse sospeché. Y más cuando cada media hora este mismo contacto volvía a enviar el mismo link. He buscado por todos lados información sobre esta posible amenaza, y no he encontrado nada, y es lo que más me preocupa. Porque quizá sea algo muy nuevo.
He pasado el antivirus (AVG) y addemás el spy-bot y adaware y no han enocntrado nada.
Bueno, el AVG me daba algo así como que cambiaba algo en shell32.dll (siempre lo hace), per oademás apareció que cambió algo en el sector de arranque, cosa que no suele pasar. Pero no detectaba ninguna amenaza.
PD: con respecto al spy-bot y el adaware, tengo una pregunta y aprovecho. El caso es que cada vez que hago un scan detectan muchas cookies seguidoras, siempre de los mismos sitios: doubleclick, advertising...¿cómo se puede hacer para no recibirlas navegando con el firefox (porque según parece si se navega con el explorer siempre sale un aviso cuando se te intentan introducir, porl el spybot residente, pero no con el firefox?
Gracias de antemano.
Edito: al parecer, y por el momento no he reenviado el link a ninguna otra persona, pero quien sabe si estaré infectado por algún gusano, toryano o vaya ud. a saber qué.
Posible malware con live messenger? (SOLUCIONADO)
Ahí queda. Se ha cargado cosas que no debería, pero o bien son cosas que no uso (todo lo que tenga que ver con Acer en esa lista) o bien son cosas que puedeo recuperar (algún archivo por ahí del Matlab)
Lo que sí me parece raro es que se cargase un archivo del spybot, ¿es eso normal?
Podíais explicar que son las primeras cosas que eliminó? O más bien, si no es molestia, comentarlo un poco.
Gracias.
Sat Feb 24 15:20:45 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Sat Feb 24 15:36:18 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminados Ficheros Temporales del IE
Sat Feb 24 15:37:01 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\SETDEBUG.EXE --> Eliminado, HackTool-SRunner
C:\WINDOWS\B802BG\BCMWLS32.EXE --> Eliminado, Hotbar
C:\Program Files\Common Files\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)
C:\Program Files\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\ePerformance\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\eSettings\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\eLock\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Matlab6p5\sys\lcc\bin\PEDUMP.EXE --> Eliminado, DownLoader.Vixup
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028155.EXE --> Eliminado, HackTool-SRunner
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028156.EXE --> Eliminado, Hotbar
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028157.DLL --> Eliminado, CyDoor
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028158.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028159.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028160.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028161.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028162.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028163.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028164.EXE --> Eliminado, DownLoader.Vixup
C:\JUEGOS\HL + CS bajado (instalacion)\CS descom\Counter.Strike\Counter Strike 1.5 traduccion spanish\COUNTER STRIKE 1.5 TRADUCCION SPANISH.EXE --> Eliminado, Guiños(msn)
Sat Feb 24 15:48:04 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Lo que sí me parece raro es que se cargase un archivo del spybot, ¿es eso normal?
Podíais explicar que son las primeras cosas que eliminó? O más bien, si no es molestia, comentarlo un poco.
Gracias.
Sat Feb 24 15:20:45 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Sat Feb 24 15:36:18 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminados Ficheros Temporales del IE
Sat Feb 24 15:37:01 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\SETDEBUG.EXE --> Eliminado, HackTool-SRunner
C:\WINDOWS\B802BG\BCMWLS32.EXE --> Eliminado, Hotbar
C:\Program Files\Common Files\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)
C:\Program Files\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\ePerformance\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\eSettings\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Acer\Empowering Technology\eLock\PREACTION.EXE --> Eliminado, PWS-Lineage
C:\Matlab6p5\sys\lcc\bin\PEDUMP.EXE --> Eliminado, DownLoader.Vixup
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028155.EXE --> Eliminado, HackTool-SRunner
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028156.EXE --> Eliminado, Hotbar
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028157.DLL --> Eliminado, CyDoor
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028158.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028159.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028160.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028161.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028162.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028163.EXE --> Eliminado, PWS-Lineage
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP41\A0028164.EXE --> Eliminado, DownLoader.Vixup
C:\JUEGOS\HL + CS bajado (instalacion)\CS descom\Counter.Strike\Counter Strike 1.5 traduccion spanish\COUNTER STRIKE 1.5 TRADUCCION SPANISH.EXE --> Eliminado, Guiños(msn)
Sat Feb 24 15:48:04 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
antes de nada decirte que te ha quitado varios cazapaswords , asi que si tenias alguna contraseña , cosas del banco ya sabes, cambialas todas, y por si acaso vuelve a pasarlo hasta que te de el log limpio, a veces ha sido necesario pasarlo varias veces , y nos dices si te sale limpio ya o que, saludos
nota: en cuanto a lo que no deberia quitarte son cosas que pasan con los falsos positivos, espero puedas recuperar todos,
saludos
nota: en cuanto a lo que no deberia quitarte son cosas que pasan con los falsos positivos, espero puedas recuperar todos,
saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
[img]Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 25-02-2007
nota:
si nos puede enviar estos ficheros, los excluiremos de la deteccion por cadenas del ELISTARA. Indiquenos que son falsos positivos del EliStartPage v13.39 , gracias:
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online