Fake antivirus (SOLUCIONADO)

[msc hotline sat]

Dices:


[quote]El Win32:FakeAlert-BHA también aparece en 10 archivos más en la carpeta



C:\System Volume Information\_restore[chorro de numeros]\RP66\



Pero no tengo acceso a esta carpeta para obtener muestras de esos archivos.[/quote]

Esto es la carpeta del Restore, para poder disponer de ella si se quisiera restaurar a un punto anterior. En dicha carpeta hay copia de las aplicaciones instaladas, buenas y malas . Para que el antivirus pueda acceder a ella y eliminar las malas, debe desativarse la restauracion de sistema, y tras ello lanzar de nuevo el AV que las ha detectado.



Boton derecho sobre MIPC -> PROPIEDADES -> RESTAURAR SISTEMA-> MARCAR LA CASILLA DE DESACTIVAR LA RESTAURACION DE SISTEMA



Una vez eliminados los malwares que hubieran en dicha carpeta, no olvidarse de volver a activar la restauracion de sistema, desmarcando la casilla en cuestion (al reves que antes)



Posiblemente sean copia de las muestras que dices habernos enviado hoy (y que no me consta que hayamos recibido). En cuanto las recibamos las analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos.



saludos



ms, 14-10-2011





NOTA: Revisadas las entradas de hoy, no hay ninguna tuya, asi que mejor envianos de nuevo estos dos ficheros que dices, gracias



[i][b]C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053934.exe ---> Win32:Tracur-FN [Trj]



C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053974.exe ---> Win32:FakeAlert-BHA [Trj] (este último tiene el símbolo del Zentom System Guard!)[/b][/i]



Desactiva tu antivirus para ello, y empaquetalas en un ZIP o RAR con password virus, o no nos van a llegar, que posiblemente sea lo que ha pasado . ms.

[jmcasas]

Vaya, tenia el antivirus activo en el momento de enviarlas. Si dices que eso da problemas, eso sera lo que ha pasado (aunque las ventanas automatizadas decian que se habian enviado sin problemas). Los archivos estaban modificados con la extension .vir y comprimidos en ZIP con la contraseña "virus", como siempre. Ya estoy en el curro, no podre reenviartelas hasta esta noche. :(



Con respecto a la carpeta C:\System Volume Information\_restore[chorro de numeros]\RP66\, no he intentado eliminar los archivos con el Avast!, asi que no se si el AV tiene acceso o no, aunque si que detecta los archivos. En el caso de que al intentar eliminarlos me den algun problema, hare lo que dices. El que no tiene acceso desde el Explorer soy yo, el ordenador me deniega el acceso, asi que no puedo copiar los archivos para enviaros muestras.



Mientras tanto, intentare conseguir una copia de un CD de instalacion del Windows.



Gracias y un saludo.

[msc hotline sat]

Pues envialos cuando puedas y cuando los recibamos procederemos con ellos.



De todas formas al estar en fin de semana, será el lunes cuando volvamos al trabajo en SATINFO, cuando podremos seguir.



Pero mientras si estos ficheros ya les has añadido la extension .VIR, ya no incordiarán, y los del RESTORE están aparcados mientras no lances una restauracion de sistema a un punto anterior, asi que puedes trabajar normalmente.



saludos





ms, 14-10-2011

[jmcasas]

Acabo de reenviar las muestras desde el trabajo, desde casa es imposible porque internet va de pena. No estoy seguro de que se trate del virus (cualquiera que sea), ya que en el ordenador de mi mujer tambien va la cosa mal (aunque no tanto) y he visto la furgoneta de Virgin merodear por el barrio todo el fin de semana, asi que a lo mejor es un problema de los servidores. Aparte de este problema con internet, no he notado otros sintomas (aparentemente) desde que renombre estos dos archivos con la extension .VIR:



C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053934.exe ---> Win32:Tracur-FN [Trj]



C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053974.exe ---> Win32:FakeAlert-BHA [Trj] (este último tiene el símbolo del Zentom System Guard!)



Por favor, confirmadme que os han llegado las muestras, si no os las enviare por e-mail.



Muchas gracias y un saludo.

[msc hotline sat]

Los ficheros recibidos para analizar han sido cionsiderados malwares y pasados a controlar a partir de la version 24-09 de hoy, segun noticias publicadas al respecto:





http://www.zonavirus.com/noticias/2011/variante-de-downloader-tracur.asp



http://www.zonavirus.com/noticias/2011/nueva-variante-de-fake-av-zentom-sys-guard.asp





A partir del ELISTARA >24.09 DE HOY SERAN DETECTADAS Y ELIMINADAS



saludos



ms, 17-10-2011

[jmcasas]

Lo probare esta noche y os posteare el informe.



Gracias!

[msc hotline sat]

De acuerdo, de todas formas estando renombrados a .VIR, ya no deberían incordiar, y el nuevo ELISTARA solo corregirá las claves modificadas por dichos malwares y eliminará las muestras de C:\muestras, de los mismos.



Posteenos el infosat.txt resultante, gracias



Y diganos si ya no persiste ninbgun problema y podemos dar por solucionado el Tema.



saludos



ms, 17-11-2011

[jmcasas]

Aquí está el informe del ELISTARA:



(17-10-2011 20:45:47 (GMT))

EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1005.bak



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-10-2011 20:45:55 (GMT))

EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)

--------------------------------------------------

Usuario: Juanma

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1011



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-10-2011 20:46:03 (GMT))

EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-10-2011 21:11:32 (GMT))

EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053934.EXE.VIR --> Eliminado, DownLoader.Tracur.AF

C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053974.EXE.VIR --> Eliminado, FakeAV.ZentomSysGuard



Nº Total de Directorios: 26151

Nº Total de Ficheros: 229850

Nº de Ficheros Analizados: 39343

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Faltan los archivos de las carpetas de restauración, pero puesto que esos están aparcados y posiblemente desaparecerán por sí solos cuando se cree otro punto de restauración, ya me ocuparé en otro rato si tengo tiempo.



De momento parece que sigue todo bien salvo la conexión a internet, que va a arreones, pero como es dicho es posible que sea un problema de Virgin y no del ordenador.



Antes de dar el tema por cerrado, me gustaría preguntar una cosilla: aunque ciertamente parece que la cosa ya funciona bien, ¿cómo puedo asegurarme -dentro de lo posible- que el ordenador está realmente limpio? Con estos dos troyanos ya le he sacado 3 bichos en la última semana, y aún hay claves que no puedo eliminar ni con el SPROCES ni con el HijackThis.



Muchísimas gracias por vuestra ayuda, sin ella no se lo que habría hecho.



Un saludo.

[msc hotline sat]

Pues nos alegramos de que hayas podido erradicar los troyanos indicados, pero sobre lo que dices de [i][b]"cómo puedo asegurarme -dentro de lo posible- que el ordenador está realmente limpio?"[/b][/i], estás en un 99 % limpio, pero el 1 % restante lo dejamos para que no te olvides de nosotros :)



Si detectaras alguna otra anomalia, ya sabes donde estamos



Ya has visto que tenías bichos nuevos, y como ellos, si aun no los tienes, los puedes tener mañana, asi que ya sabes...



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 18-10-2011





NOTA: Y algunas claves pueden ser de servicios y estar en uso y no poderse eliminar, pero no tienen porqué ser maliciosas. ms.