BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Ultimos Spyware-Virus no detectables

1
Cerberus

A mi persona ha llegado la curiosidad de eliminarme ciertos procesos incómodos que he encontrado funcionando sin que yo sepa lo que son, de forma que pasando el Ad-Watch y buscando en el sistema he sido capaz de asociar ciertos procesos a algunos programas instalados de forma sileciosa.

Voy a enumerar procesos que me parecen sospechosos y a decir lo qe he descubierto de cada uno de ellos:

  • Hay funcionando 2 procesos IEXPLORE.EXE (que no tienen nada q ver con el iexplore del InternetExplorer, y cada vez que cierras uno se vuelve a abrir), ya que se corresponden con un programa que queda instalado en "C:/documents&settings/remotechinsoftwarelocks/Ruleglue.exe", pues cada vez que cierro un IEXPLORE.EXE se puede observer por un instante como se reabre un "Ruleglue.exe", que acto seguido se renombra al susodicho "IEXPLORE.EXE" he buscado en google, en mil foros y no hay nada a cerca de este programa, pero si de gente q ha detectado esos 2 procesos, que tengo la sensación de que son los culpables de que se me esté intentando modificar continuamente el registro metiendo como searchBar una página una barbaridad de extraña (www.tuamhvzbvjfe......, esta página varia cada aproximadamente 15 segundos, no os podeis hacer una idea lo que me está costando escribir esto blokeando este proceso cada 2 por 3)
  • He encontrado un archivo en "Documents and Settings//Datos de programa/intersetupscr/Mpeg time.exe" no tengo ni idea de lo que es, tampoco viene en google, ni consigo relacionarlo con ningun proceso extraño que me he encontrado, si sabeis de que es, se agradecen los comentarios :-).
  • hay en mi Datos de programa de mi usuario "paso de repetir la direccion" un tal "EGGSMULTIMANAGER/Bolt Stop.exe" que intenta reescribirseme cada 30 minutos aproximadamente, tampoco he encontrado nada en google, y no he sido de relacionarlo con ningun proceso raro que me haya encontrado

Dios, para que os hagais una idea de como es el primero, el SearchBar se me ha intentado cambiar mientras escribia esto cada 36 segundos, en total unas 118 veces, ha sido un suplicio xDD

Vamos a ver si entre todos podemosir descubriendo cosas como esta en este post, y así intentar combatirlas.

El Spyware es problema de todos, intentemos kitarnos esta lacra entre todos :D

PD:Voy a intentar borrar esos programas raros desde el modo a prueba de fallos, ahora os cuento que tal.
PD2: Ya van 140 veces... puto programa

Muchas gracias a de antemano a todos los que aporteis algo. :-P

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
NomadaEgosanti

y yo me pregunto ¿como ha llegado esa basura a tu ordenata?
Cortafuegos?firefox?programita para avisar si algo escribe en el registro? etc etc. Hay que protegerse de esa mierda.
Siento no darte una solucion a ese problema con ese puto programa salvo pasar el Spybot y similares, y si no funciona formatear, instalar de todo antes de conectarte a internet de nuevo.

🗨️ 10
Cerberus

Básicamente, a mi Firefox me parece una roña integral, yo uso Maxthon (MyIE2), que es muchisimo más comodo, y no está falto de seguridad. Sabe dios por donde entran, no creo tampoco q sea por el Maxthon, está bastante bien protegido.

Utilizo SpyBot tb, además del Ad-aware, pra las cosas más simples (el ad-watch es una aplicación de este para los procesos activos, y las entradas instantaneas de registro, no es algo así cutre como kien dice).

Efectivamente, cada dia hay que tener más cuidado de los programas esos que dicen borrar procesos espias, troyanos y sus muertos, yo solo confio en lo seguro para esto, y lo seguro para mi, son programas como:

  • SpyBot
  • Ad-aware, (con su aplicación Ad-watch, bastante util)

Sin embargo, todavia no he encontrado un antivirus que limpie eficazmente, sin COMERTE literalmente los recursos del ordenador (tal vez McAffe?)

Cada dia me convenzo más a mi mismo de que un cortafuegos es necesario, ya que no lo tengo, puesto que todos los que he probado son tan increiblemente engorrosos de usar que he desistido de ellos.

Conoceis alguno MEDIANAMENTE cómodo de utilizar y que sea fuerte en seguridad? (Por favor, el OUTPOST es una CACA)

Gracias

🗨️ 9
negora

Kerio Firewall dispone de un modo sencillo y de otro basado en reglas (para los que nos gusta "juguetear") Además, la versión "lite" es gratuita :D .

NomadaEgosanti

hombre si no te gusta el firefox pues que se le va a hacer ejejeje, pero el outpost es muy facil de utilizar, si es que decias que es una CACA por eso. El kerio no lo he utilizado pero siempre hablan maravillas de el.

🗨️ 7
nkm

Yo he utilizado tanto el Outpost gratis como el de pago y amén de que me daba unos pantallazos azules 'IRQL_Not_Less_Or_Equal' mu ricos cada dos por tres, no respondía a mis expectativas de seguridad.

Me decanto por Kerio + Kaspersky + Adaware + Spybot + RegCleaner (la madre que parió al Bill Gates, que windows es seguro, mecag....)

🗨️ 6
negora
negora
🗨️ 2
JLA
JLA
🗨️ 1
negora
negora
Cerberus
Cerberus
🗨️ 1
nkm

Yo también he visto IEXPLORE.EXE corriendo(sin haber ninguna ventana del IE abierta) en varios ordenadores y tiene más pinta de ser un gusano, porque parece demasiado clandestino para ser un ad, nosé...

Sin haber podido trastear con él, ya que en mi máquina no se me ha colao por suerte(será el Firefox ^^), por lo que dices, los otros procesos que aparecen un instante al matar los IEXPLORE.EXE sospechosos, deben de cargar una dll a través él, ya que el IEXPLORE.EXE que corre es el auténtico.

Lo qué yo hacía para ventilarme las dichosas barras es identificar la dll correspondiente que cargaba usando el Process Explorer y borrándola(la identificaras por el directorio en el que está, p.ej. C:\archivos de programa\mywebsearch\noseke.dll).

Prueba esto, identifica la dll correspondiente, borra C:/documents&settings/remotechinsoftwarelocks/Ruleglue.exe, mira en c:\windows\prefetch\ a ver si hay también un algun .pf con "ruleglue" en el nombre y ventílatelo(puedes ventilarte todos los .pf sin miedo), mata todos los IEXPLORE.EXE que haya corriendo e intenta borrar la dll.

EDIT: Ah, si no te deja borrar la/las dll matando solo EXPLORE.EXE, mata también EXPLORER.EXE e intenta borrar la dll a través del Administrador de Tareas[CTRL+ALT+SUPR xD], Ejecutar, Examinar. Es posible que la dll también se cargue ahí.

Cuando elimines toda esa basura que se te ha colado, te aconsejo que pruebes el Firefox, te olvidas rápido de dialers, barras y spywares.

Saludos.

🗨️ 2
Cerberus

Tienes idea de para que sirve Prefech? Puedo borrar el Layout.ini que está dentro?

Como he dicho antes para mi Firefox sux una barbaridá, lo único que utilizo hace tiempo es Maxthon, pero claro, está basado en IE.

🗨️ 1
nkm

Los prefetch son "copias de seguridad" de ejecutables que se crean por si accidentalmente borras los originales, lo malo es que cualquier ejecutable puede crear un prefetch, hasta los gusanos, asi pasa que los borras y renacen como el Ave Fénix.

Puedes borrar sin miedo todos los prefetch(*.pf), porque se volverán a crear(si no has borrado el ejecutable original).

El Layout.ini como no se que función tiene yo no lo tocaría.

Saludos.

Cerberus

Efectivamente, se fue el dichoso doble proceso IEXPLORE.EXE, basta con borrar la carpeta en modo a prueba de fallos en modo administrador. Para los demás, he conseguido borrarlos tb.

Sabe dios cuándo me volverán a entrar.

🗨️ 3
nkm

Joé, 20 minutos currándome el dichoso post pa ná xDDDDD

🗨️ 1
Cerberus

jajaja, lo siento

negora

Pues debe ser diferente al que me entró a mí o algún tipo de variante, porque yo probé a borrar las carpetas y sólo sirvió para retrasar el problema.

Normalmente, este tipo de basura suele meter varias entradas en el registro, así que estate atento, pues es extraño que sólo se haya "conformado" con colarte un ejecutable...

De todos modos, sino te entra más, vaya mi enhorabuena :P .

negora

Hola majosos:

Pues aunque suene extraño, os voy a contar una cosita acerca del primer "elemento" que menciona nuestro compañero. Resulta que yo uso Mozilla Firefox, antivirus Kaspersky AVP y cortafuegos Kerio Firewall. Además de éstos, uso Ad Aware y Spybot - Serach & Destroy.

Pues aunque os parezca increible, nada más instalar Windows XP con Service Pack 2 (desde cero, por supuesto, que es como yo creo que siempre se debe de hacer), surgió esa "maravillosa" barrita de búsqueda que no dejaba de incordiar. Sin siquiera haber accedido a Internet Explorer. En un principio pensé que sería algún tipo de añadido de SP2, pero más tarde me di cuenta de que no existía relación alguna. Conste decir que el muy "perro" se coló justo cuando no todavía no tenía instalado ese software que menciono al comienzo. Vista su impertinencia, traté de eliminarlo mediante alguno de esos programas anti adware y spyware, pero NINGUNO de ellos fue capaz de eliminarlo.

Busqué información por Internet y, por casualidad, di con otra persona más que sufría el mismo problema. Sin embargo, tampoco él sabía cómo solucionarlo.

Y en un caso así, no queda otra que hacer la limpieza a mano, que es un método eficaz, aunque también más arriesgado.

Por recomendación de un usuario de estos foros (pido disculpas por no recordar el nombre), antes de meter mano al registro, decidí probar Hijackthis. Este programa lo que hace es mostrate las claves del registro relacionadas con la autoejecución de programas y de aplicaciones Active X. De este modo, ya no hacía falta buscar una por una cada entrada. Una vez ejecutado, aparecieron varios elementos sospechosos que yo no había sido capaz de localizar. Hice un borrado de dichas entradas y... ¡Voilá! No he vuelto a tener problemas desde hace tiempo.

Probad Hijackthis, ya que es una forma rápida y sobretodo lógica (porque sabes qué es lo que estás haciendo) de solucionar ese tipo de problemas. Un saludete :) .

🗨️ 4
Cerberus

Mi problema no es con las barras, ya que Maxthon las bloquea todas, mi problema es con procesos extraños que aparecen en la barra de tareas, de todas formas muchas gracias con tu post, sin embargo, encuentro una cosa un tanto extraña, y ahora te contesto tb l de antes, de que te sirve borrar manualmente si te van a volver a entrar?? lo importante es saber por donde entran y a qué se dedican, creo yo, ese era el objetivo de mi post, saber qué hace cada uno. De momento llevo una hora corriendo sin ver ninguno de los procesos extraños que dije antes, alomejor vale con borrar en modo a prueba de fallos desde el administrador

🗨️ 2
negora

Hola de nuevo Cerberus ^_^ :

No te tomes a mal esta pregunta pero, ¿De qué te sirve que no se muestren las barras, si realmente, en modo "background", se está ejecutando la aplicación que las muestra? Esas barras que menciono son una manifestación más de ese proceso IEXPLORE.EXE. Que no se muestren, muchas veces, no quiere decir que no estén presentes, como creo que es tu caso. Ese proceso que uno cancela a mano SÍ que es en realidad el verdadero IEXPLORE (al menos en mi caso), sólo que en su carga se añade un control Active X, una DLL y alguna "mierda" más metida en el registro. Además de éso, a mí se me ejecutaba un .EXE que se encargaba de restaurar todo en caso de que se borrase alguno de los otros elementos.

Por éso, además de eliminar dicha DLL, el control Active X, así como el .EXE "organizador", había que eliminar las entradas de registro, para así asegurarse de que todo se había hecho correctamente.

¿El método empleado por este adware? Pues aunque no puedo afirmarlo al 100%, creo que tiene que ver con una de las vulnerabilidades parcheadas mediante el KB834707. Aquí podéis leer los detalles de esta vulnerabilidad: (link roto) . Si no me equivoco, de ahí proviene esa mierda de barra. Aunque ya digo que no estoy al 100% seguro.

Saludos :) .

🗨️ 1
Cerberus

Te doy la razon y apoyo eso, de que coño me servirá a mi que no se muestren? Espero que algun dia MAxthon se independice de IE, mientras tanto, prefiero ir cuidandome poco a poco, y aprender de estos dixosos programas, sin embargo, creo que lo prioritario es cortarles el camino, y acto seguido masacrarlos aqui dentro TATATATATA!!! XDDD

Gracias de veras por todos vuestros post ^^

Cerberus

Porcierto, vaya programa el Hijackthis, va de PM, solo que hay qu tener mucho cuidado con lo que se borra, sin embargo, está muy bien para borrar cosas inesperadas :-(

Gracias nuevamente

Frankie2004

Simplemente quería recordaros, ya que en un par de ocasiones en los mensajes de arriba ha aparecido la pregunta "¿cómo se me mete esta mierda si solo uso Firefox?", que simplemente por el hecho de estar expuesto a Internet con los puertos abiertos, sin lanzar un explorador en la vida, puede ser suficiente para que un gusano que sepa aprovechar una vulnerabilidad específica pueda colar cualquier tipo de ejecutable en el equipo.

¿Ayudas? Estar tras routers externos que hagan NAT y que solo tengan abiertos los puertos que necesitemos. En su defectos algún cortafuegos ... pero sobre todo intentar estar al día de los parches, por muy cansado que sea y aunque tengamos que depender de la negligencia de Microsoft. Por cierto, Windows Update solo funciona a través de un ActiveX de Internet Explorer, así que en ciertos momentos es la pescadilla que se muerde la cola.

Saludos.

🗨️ 3
kagontoo

Hola ,

gogleando he encontrado el siguiente enlace:

(link roto)

espero os ayude a solucionar el problema.

S@lu2

SolRed

Solo agregar que mejor usar el firewall por software siempre, porque la protección que ofrece el firewall de un router es inoperativa, en la mayoría de las ocasiones, ya que fácilmente se pueden encontrar exploits para saltarnos esta protección.
Ambos firewall son compatibles y a la vez nos aseguran estar más protegidos.
Un saludo.
Imagen original en http://galeon.com/solred/imagen/solredgmail.png

🗨️ 1
Cerberus

Gracias SolRed, yo pensé que el router actuaba de firewall fisico, por eso no lo usaba, ahora ya tengo el Kerio, y la verdad, despues de un dia con el, no estoy nada desaradecido :P

PD: Sigue sin cargarseme el Ruleglue ni ninguno más, lo que he hecho es lo siguiente:

  • Borrar estos programas en modo a prueba de fallos
  • Vaciar el directorio Prefetch de windows, excepto el Layout.ini
  • Por último me he isntalado el Kerio, sin embargo, he estado unas cuantas horas sin él, y no se volvian a abrir

Muchas gracias a todos, pues he encontrado solucion (por 1 dia al menos :D) a mi problema.

Espero que podamos seguir comentando por aqui los troyanos no detectados hasta ahora y para los que no se encuentran solucion :P

Nuevamente, Gracias a todos ^_^