Win32:Alphabet [Trj]

[manu_204]

Tengo este dichoso SPyware



y el antivirus me detecta esto



Win32:Alphabet [Trj]

http://<interceptado>\[PECompact]



y lo elimina pero siempre vuelve a surguir que hago?





Un saludo y gracias

[manu_204]

Tengo este dichoso SPyware

y el antivirus me detecta esto

Win32:Alphabet [Trj]
http://<interceptado>\[PECompact]

y lo elimina pero siempre vuelve a surguir que hago?

Un saludo y gracias

Hola a todos el spyware, se llama smitfraud C toolbar 888
He escaneado con el spybot el ad-adaware y ha sido con el
primero el que me lo ha detectado, tras eliminarlo siempre
se restaura el spyware que puedo hacer?


Un saludo y gracias por su tiempo

[Claudia34]

Pues descargate las siguientes herramientas de los siguientes enlaces respectivos, guardalo en una carpeta y lanzalos en modo a prueba de fallos:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.


Pasate tambien el Elitriip, y nos pegas el log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y complementalo posteandonos el log del HJT:


HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de windows y el otro escaneo en modo a prueba de fallos, obviamente peganos el log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Ademas de eso no te vendria mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
Tambien realiza un escaneo en modo a prueba de fallos con la restauracion del sistema desactivado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un windows update completo por las dudas y cuentanos los resultados.


Saludos.

[msc hotline sat]

Parece que se trata de un nuevo troyano que aun no es detectado por muchos antivirus:

Complete scanning result of "smanager.7.exe", received in VirusTotal at 05.24.2007, 16:14:41 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 TR/Dldr.Alphabet.11264.17
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 Win32:Alphabet
AVG 7.5.0.467 05.23.2007 Downloader.Generic4.RZY
BitDefender 7.2 05.24.2007 no virus found
CAT-QuickHeal 9.00 05.24.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Win32.Alphabet.gen
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 Downloader.Alphabet
FileAdvisor 1 05.24.2007 No threat detected
Fortinet 2.85.0.0 05.24.2007 no virus found
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 Trojan-Downloader.Win32.Alphabet.gen
Ikarus T3.1.1.8 05.24.2007 Trojan-Downloader.Win32.Alphabet
Kaspersky 4.0.2.24 05.24.2007 Trojan-Downloader.Win32.Alphabet.gen
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2289 05.24.2007 a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 05.24.2007 W32/DLoader.CUZP
Panda 9.0.0.4 05.24.2007 Trj/Clicker.ZF
Prevx1 V2 05.24.2007 Trojan.Nudos
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 Downloader
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 no virus found
VirusBuster 4.3.23:9 05.23.2007 no virus found
Webwasher-Gateway 6.0.1 05.24.2007 Trojan.Dldr.Alphabet.11264.17
Aditional Information
File size: 11264 bytes
MD5: 94dac882c05afc623ac9a01f674d3ff0
SHA1: 45dc4d11f9b05e79d473752bb883d6b4aec1c88c
packers: PECompact
packers: PECOMPACT
Bit9 info: Bit9 FileAdvisor - Search Results
packers: embedded, PecBundle, PECompact
Prevx info: SMANAGER.7.EXE Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

y que reside en estos ficheros:

C:\WINDOWS\smanager.7.exe
C:\WINDOWS\System32\sstts.dll
C:\WINDOWS\System32\rzhlfxu.dll
C:\WINDOWS\System32\ljjkklm.dll
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\FNTS~1\smss.exe
c:\winDOWS\system32\drivers\uzcx.exe

Envianos muestra de los mismos para analizar, especialmente del primero:

C:\WINDOWS\smanager.7.exe


y mientras, renombra la extension de todos los indicados a .VIR y tras reiniciar ya no se podrán poner en uso.

Luego, tras el analisis, ya los eliminaremos automaticamente y restauraremos las claves de registro

saludos
ms, 26-05-2007

[Appa]

Me ha salido el mismo virus y no para de darme el aviso de Alphabet.gen...:S.

De distintos archivos .exe, y de la carpeta del autor del post..., si os envio los datos que le pedisteis, con el elistara me dariais alguna solucion?



P.D: Tengo el kaspersky y no me lo elimina ni desinfecta, he analizado con Ad-aware y spybot, y nada, no me dicen nada...



enga salu2 y gracias

[msc hotline sat]

Para esto pedimos las muestras, para monitorizar su comportamiento y, si son malwares, deshacer lo que han hecho con la utilidad pertinente, de las cuales infomamos cada dia en el foro:

http://www.zonavirus.com/descargas/util ... atinfo.asp

y para el envio de las muestras:

-> Para ello recordar: viewtopic.php?f=2&t=45334


Posiblemente se trata de una variante todavía no controlada. (Cada dia aparecen de promedio entre 150 y 200 nuevas), pero hasta ahora no se nos ha resistido ninguna


saludos
ms, 30-06-2007

[Appa]

Antes de hacer nada... que logs te tengo que enviar? con que programas?. Esque con el Elistara me crea un infosat.txt, pero dentro de el no sale ninguna informacion interesantes, solo que se ha analizado C:.

Y con hijackthis me crea un log pero no veo nada de virus...



Que hago? que os interesa que os envie para poder solucionar lo del virus?



enga salu2!! y gracias

[msc hotline sat]

En cuanto muestras a enviar, deciamos:

C:\WINDOWS\smanager.7.exe
C:\WINDOWS\System32\sstts.dll
C:\WINDOWS\System32\rzhlfxu.dll
C:\WINDOWS\System32\ljjkklm.dll
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\FNTS~1\smss.exe
c:\winDOWS\system32\drivers\uzcx.exe

Envianos muestra de los mismos para analizar, especialmente del primero:

C:\WINDOWS\smanager.7.exe

y aunque no le parezca de interés el log del C:\infosat.txt, posteenoslo con un copiar y pegar en su proximo post, de respuesta a este, vemos si ha hecho la exploraciuon, ademas de la accion directa, vemos si le falta algun parche, la version utilizada y demas...

saludos
ms, 1-07-2007

[Appa]

Ok, lo siento pero no se como analizar esos archivos? con que programa tengo que hacerlo?





Aqui pongo lo que me aparece dentro del archivo infosat.txt:





Sun Jul 01 10:44:09 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Jul 01 10:44:26 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jul 01 10:44:39 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Sun Jul 01 10:57:20 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Jul 01 10:57:26 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





enga salu2 y gracias,

como ya dices, me faltan parches.

[Claudia34]

Realiza un windows update urgentemente.

[Appa]

Las actualizaciones automaticas quieres decir? al ser windows...wno...



enga salu2 y gracias!!

[msc hotline sat]

Dices: "Ok, lo siento pero no se como analizar esos archivos? con que programa tengo que hacerlo? "

No, si los tenemos que analizar somos nosotros ! Tu tan solo tienes que enviarnos los que encuentres de los que te indicamos, especialmente el que indicamos en negrita:

C:\WINDOWS\smanager.7.exe
C:\WINDOWS\System32\sstts.dll
C:\WINDOWS\System32\rzhlfxu.dll
C:\WINDOWS\System32\ljjkklm.dll
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\FNTS~1\smss.exe
c:\winDOWS\system32\drivers\uzcx.exe

Envianos muestra de los mismos para analizar, especialmente del primero:

C:\WINDOWS\smanager.7.exe

De todas formas nos ha ayudado mucho lo indicado ultimamente y el posteo del infosat.txt.

Y mira si tienes en alguna parte este fichero ... : XC23.EXE

(Miralo con un Inicio -> Buscar -> Todos los ficheros y carpetas)

Si lo encuentras nos lo envias tambien, y renombras su extension a .VIR para aparcarlo.

saludos

ms, 1-07-2007