Potente troyano en Facebook (SOLUCIONADO)

Cerrado
zetor
Mensajes: 294
Registrado: 23 Feb 2007, 05:10
Ubicación: Argentina

Potente troyano en Facebook (SOLUCIONADO)

Mensaje por zetor » 08 Feb 2015, 19:52

Hola, pues eso, me infecte con un troyano que se autoenvia a todos mis contactos y que ni el Elistara, ni el SUPERAntiSpyware ni el Malwarebytes-Antimalware, ni el AdwCleaner, pudieron eliminar.

Solicito ayuda con este troyano y quizas sea util incorporarlo a la base de datos de Elistara para su eliminacion. Un saludo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Potente troyano en Facebook

Mensaje por msc hotline sat » 09 Feb 2015, 13:13

Claro que sí, envianos muestra del ejecutable que te infectó y, tras analizarlo, pasaremos a controlarlo.



saludos



ms, 9-2-2015

zetor
Mensajes: 294
Registrado: 23 Feb 2007, 05:10
Ubicación: Argentina

Re: Potente troyano en Facebook

Mensaje por zetor » 09 Feb 2015, 16:27

Hola, gracias por el ofrecimiento, pero ojala pudiera echarle mano a ese maldito.

Te cuento que en el ínterin, corrí el Spybot S&D y me encontró 13 claves del registro y 3 carpetas bajo el sugestivo nombre [b]Facebook.Messenger[/b], puedo restaurarlos pero solamente si pudiera hacerlo en forma segura, es decir sin infectarme nuevamente, eso se puede? y como?.

De todos modos me salen ventanas emergentes con publicidades, se cuelga mucho y esta muy pesada; seguramente la infección no esta controlada todavía, lo positivo es que dejo de enviarle spam a mis contactos. Agradecido por la atención

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Potente troyano en Facebook

Mensaje por msc hotline sat » 09 Feb 2015, 17:22

Pues si quieres tratar de eliminar los adwares que siguen apareciendote, lanza el SPROCES, pulsa en SALIR y posteanos el contenido de c:\sproclog.txt que creará dicha utilidad



Con ello trataremos de ver lo que te molesta y ofrecer soluciones.



saludos



ms, 9-2-2015

zetor
Mensajes: 294
Registrado: 23 Feb 2007, 05:10
Ubicación: Argentina

Re: Potente troyano en Facebook

Mensaje por zetor » 09 Feb 2015, 19:29

Eso haré, muchas gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Potente troyano en Facebook

Mensaje por msc hotline sat » 09 Feb 2015, 19:34

Pues cuando postees como respuesta de este Tema, el contenido de dicho informe, seguiremos



saludos



ms, 9-2-2015

zetor
Mensajes: 294
Registrado: 23 Feb 2007, 05:10
Ubicación: Argentina

Re: Potente troyano en Facebook

Mensaje por zetor » 09 Feb 2015, 19:44

Aquï lo pedido





(9-2-2015 18:38:47 GMT)

SProces v8.3 (c)2015 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 8 Enterprise Evaluation (v6.2)

Internet Explorer: (v9.10.9200.17183) 0

Equipo: HECTOR

Usuario: hector

Sesión de Usuario: MicrosoftAccount\zevihe@hotmail.com



60 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 7\ASCSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\SUPERANTISPYWARE\SASCORE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\WINDOWS DEFENDER\MSMPENG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\DASHOST.EXE

C:\WINDOWS\SYSTEM32\SPPSVC.EXE

C:\WINDOWS\SYSTEM32\TASKHOSTEX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\WINDOWSAPPS\MICROSOFT.WINDOWSCOMMUNICATIONSAPPS_17.0.1119.516_X86__8WEKYB3D8BBWE\LIVECOMM.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE

C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE

C:\PROGRAM FILES\QSOCIAL\QSOCIAL.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE15\ONENOTEM.EXE

C:\PROGRAM FILES\STARDOCK\OBJECTDOCK PLUS\OBJECTDOCK.EXE

C:\PROGRAM FILES\STARDOCK\OBJECTDOCK PLUS\OBJECTDOCKTRAY.EXE

C:\WINDOWS\SYSTEM32\SPPEXTCOMOBJ.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\AJEDREZ21\CLIENTEALPHA.EXE

C:\PROGRAM FILES\AJEDREZ21\COMPUTER\CHESSPROGRAM.EXE

D:\PROGR S- INSTALACION\VIRTUAL MAGNIFYING GLASS\VIRTUAL MAGNIFYING GLASS 3.2.2 PORTABLE\VIRTUAL MAGNIFYING GLASS 3.2.2 PORTABLE.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\IDMAN.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

D:\PROGR S- INSTALACION\SEGURIDAD & MANTENIMIENTO\SPROCESS\SPROCES.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O1 - Hosts: 127.0.0.1 license.superantispyware.com

O1 - Hosts: 0.0.0.0 SuperAntiSpyware.com

O1 - Hosts: 127.0.0.1 ursoftware.com

O1 - Hosts: 127.0.0.1 www.ursoftware.com

O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\Office15\OCHelper.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\Microsoft Office\Office15\URLREDIR.DLL

O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\PROGRA~1\Microsoft Office\Office15\GROOVEEX.DLL

O4 - HKCU\..\Run: [Google Update] "C:\Users\hector\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [Facebook Update] "C:\Users\hector\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

O4 - HKCU\..\Run: [Qsocial] "C:\Program Files\QSocial\QSocial.exe" /auto

O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe

O4 - HKLM\..\Run: [Qsocial] "C:\Program Files\QSocial\" /auto

O4 - Startup: Enviar a OneNote.lnk = C:\Program Files\Microsoft Office\Office15\ONENOTEM.EXE /tsr

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock Plus\ObjectDock.exe

O8 - Extra context menu item: &Enviar a OneNote - res://C:\PROGRA~1\Microsoft Office\Office15\ONBttnIE.dll/105

O8 - Extra context menu item: Descargar con IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Descargar con IDM todos los enlaces - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office15\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office15\ONBttnIE.dll (HKLM)

O9 - Extra button: Complemento Hacer clic para llamar de Lync - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\Office15\OCHelper.dll (HKLM)

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office15\ONBttnIELinkedNotes.dll (HKLM)

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office\Office15\MSOSB.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)



Información Adicional:

----------------------

Acceso Rapido ('hector'): Google Chrome.lnk = C:\Program Files\Google\Chrome\Application\chrome.exe

Acceso Rapido ('hector'): Shows Desktop.lnk =

Acceso Rapido ('hector'): Window Switcher.lnk =

Ext.Google Chrome. ('hector') Id: aohghmighlieiainnegkcijnfilokake

Ext.Google Chrome. ('hector') Id: apdfllckaahabafndbhieahigkjlhalf

Ext.Google Chrome. ('hector') Id: bbmegnmpleoagolcnjnejdacakedpcgd

Ext.Google Chrome. ('hector') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo

Ext.Google Chrome. ('hector') Id: coobgpohoikkiipiblmjeljniedjpjpf

Ext.Google Chrome. ('hector') Id: gighmmpiobklfepjocnamgkkbiglidom

Ext.Google Chrome. ('hector') Id: iphpdofpfakemlbpfdldmanhpikhbald

Ext.Google Chrome. ('hector') Id: jeaohhlajejodfjadcponpnjgkiikocnC:\Program Files\Internet Download Manager\IDMGCExt.crx

Ext.Google Chrome. ('hector') Id: nmmhkkegccagdldgiimedpiccmgmieda

Ext.Google Chrome. ('hector') Id: pjkljhegncpnkpknbcohdijeoejaedia



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE

O23 - Service: Advanced SystemCare Service 7 (AdvancedSystemCareService7) - IObit - C:\Program Files\IObit\Advanced SystemCare 7\ASCService.exe

O23 - Service: Google Update Servicio (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: IDMWFP - Tonec Inc. - C:\WINDOWS\system32\DRIVERS\idmwfp.sys

O23 - Service: LiveUpdate (LiveUpdateSvc) - IObit - C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe

O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\Windows\system32\drivers\mbam.sys

O23 - Service: MBAMWebAccessControl - Malwarebytes Corporation - C:\Windows\system32\drivers\mwac.sys

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @netrt630x86.inf,%rtl8168.Service.DispName%;Controlador NT Realtek 8168 (RTL8168) - Realtek - C:\WINDOWS\system32\DRIVERS\Rt630x86.sys

O23 - Service: @oem2.inf,%UsbDeviceDesc%;VideoCAM Messenger (snpstd) - Unknown owner - C:\WINDOWS\system32\DRIVERS\snpstd.sys



Listado de Servicios (Deshabilitados):

--------------------------------------



14 Servicios.

7 de Carga Automatica.

7 de Carga Manual.

0 Deshabilitados.



Listado de Programas Instalados:

--------------------------------

Adobe Flash Player 16 NPAPI -> C:\Windows\system32\Macromed\Flash\FlashUtil32_16_0_0_305_Plugin.exe -maintain plugin

Advanced SystemCare 7 -> "C:\Program Files\IObit\Advanced SystemCare 7\unins000.exe"

CCleaner -> "C:\Program Files\CCleaner\uninst.exe"

Driver Booster 2.1 -> "C:\Program Files\IObit\Driver Booster\unins000.exe"

Google Chrome -> "C:\Program Files\Google\Chrome\Application\40.0.2214.111\Installer\setup.exe" --uninstall --multi-install --chrome --system-level

Internet Download Manager -> C:\Program Files\Internet Download Manager\Uninstall.exe

Surfing Protection -> "C:\Program Files\IObit\Surfing Protection\unins000.exe"

Malwarebytes Anti-Malware versión 2.0.4.1028 -> "C:\Program Files\Malwarebytes Anti-Malware\unins000.exe"

Mozilla Firefox 27.0.1 (x86 es-AR) -> "C:\Program Files\Mozilla Firefox\uninstall\helper.exe"

Mozilla Maintenance Service -> "C:\Program Files\Mozilla Maintenance Service\uninstall.exe"

ObjectDock Plus -> "C:\Program Files\Stardock\ObjectDock Plus\uninstall.exe" "/U:C:\Program Files\Stardock\ObjectDock Plus\Uninstall\uninstall.xml"

WinRAR 5.10 (32-bit) -> C:\Program Files\WinRAR\uninstall.exe

Your Uninstaller! 7 -> "C:\Program Files\Your Uninstaller! 7\unins000.exe"

Snagit Stamps GeneratedStamps -> MsiExec.exe /I{076C6BC1-C1C9-4936-86A7-09CC8521571D}

Cliente VIP A21 -> MsiExec.exe /I{0ABC7536-A82B-41D5-9196-68D71857321D}

Facebook Video Calling 3.1.0.521 -> MsiExec.exe /X{2091F234-EB58-4B80-8C96-8EB78C808CF7}

Skype™ 6.21 -> MsiExec.exe /X{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}

Google Update Helper -> MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

Snagit Stamps GeneratedStamps -> MsiExec.exe /I{80FCAC3D-C5F2-429F-BBCF-A360CDC88BBA}

Microsoft Access MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0015-0C0A-0000-0000000FF1CE}

Microsoft Excel MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0016-0C0A-0000-0000000FF1CE}

Microsoft PowerPoint MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0018-0C0A-0000-0000000FF1CE}

Microsoft Publisher MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0019-0C0A-0000-0000000FF1CE}

Microsoft Outlook MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-001A-0C0A-0000-0000000FF1CE}

Microsoft Word MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-001B-0C0A-0000-0000000FF1CE}

Microsoft InfoPath MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0044-0C0A-0000-0000000FF1CE}

Microsoft DCF MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-0090-0C0A-0000-0000000FF1CE}

Microsoft OneNote MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-00A1-0C0A-0000-0000000FF1CE}

Microsoft Groove MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-00BA-0C0A-0000-0000000FF1CE}

Microsoft Lync MUI (Spanish) 2013 -> MsiExec.exe /X{90150000-012B-0C0A-0000-0000000FF1CE}

Snagit 11 -> MsiExec.exe /I{90D0FC4B-D653-4F49-BB97-A48C74A52E71}

Microsoft App Update for microsoft.windowscommunicationsapps_17.0.1119.516_x86__8wekyb3d8bbwe (x86) -> MsiExec.exe /I{B1FEA4EF-6F77-D32B-E9FA-7F09A1A2608A}

SUPERAntiSpyware -> "C:\Program Files\SUPERAntiSpyware\Uninstall.exe"

Snagit Stamps GeneratedStamps -> MsiExec.exe /I{F16969E6-348A-462F-A7A0-2F35499A2CCB}

Google Talk Plugin -> MsiExec.exe /I{F7770F7F-0ABC-30CB-95BC-93761A05CAB6}

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Potente troyano en Facebook

Mensaje por msc hotline sat » 10 Feb 2015, 13:35

No se aprecian claves maliciosas ni aplicaciones malware en el informe que nos has enviado.



Pudiera ser que hubiera suplantado el nombre de alguna aplicacion licita, en cuyo caso no podrá detectarse por su nombre, claro.



Sugiera lances una REPARACION DE SISTEMA PARA SOBREESCRIBIR LOS FICHEROS DE SISTEMA , sin perder informacion, y asi ver si se soluciona el problema.



Ya nos contarás el resultado, gracias



saludos



ms, 10-2-2015

zetor
Mensajes: 294
Registrado: 23 Feb 2007, 05:10
Ubicación: Argentina

Re: Potente troyano en Facebook

Mensaje por zetor » 10 Feb 2015, 16:46

Bueno, te cuento que por un lado el propio facebook bloqueo cualquier accion que quiera realizar por dos dias por precaucion y mientras ellos trabajaban para solucionar el problema del sofware malicioso detectado.

Por otro, desaparecieron todos los comportamientos sospechosos, pop up´s , lentitud.

Por lo que si estas de acuerdo, creo que podemos darlo como solucionado.

Lo que esta en la cuarentena del SpyBot S&D , lo elimino sin mas?

Un saludo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Potente troyano en Facebook

Mensaje por msc hotline sat » 11 Feb 2015, 15:15

El SPYBOT Search & Destroy es de los mas antiguos antiadwares que recuerdo, por lo que es fiable y puedes proceder a lo que te indiquen.



Y celebro que ya hayan terminado las anomalías, por lo que, conforme indicas, damos por solucionado el Tema y procedemos a cerrarlo.



saludos



ms, 11-2-2015

Cerrado

Volver a “Foro Spyware”