Se vuelve lenta mi conexion

[Osvalder]

Antes que nada quiero aclarar que oy nuevo y muy inexperto con el tema de espias e internet, por eso estoy aqui, les pido que me tengan paciencia si no entiendo algo.



Mi problema es este, mi ordenador anda perfecto pero mi conexion a internet se pone cada vez mas lenta. Si le sirve de algo les cuento lo siguiente: uso el antiespia AVG ANTIPSYWARE y AD AWARE actualizados. El AVG me detecta a diario muchos elementos malos, tracking cookies, y a pesar de que los elimino muchos de ellos vuelven a aparecer en el siguiente escaneo.

Tambien me detecta un elemento -Backdoor.ProRat-en la ubicación [172]VM_0143000 (no se que es esa ubicacion) que al eliminarlo se vuelve a copiar, y al enviarlo a cuarentena pasa lo mismo.

Tambien he notado que en mi firewall existe un programa que aparece entre las conexiones llamado directxclickers.exe que aparece en la ubicación C://windows/ system32 que tambien es detectado por mi antiespía pero no importa cuanto lo elimine, siempre reaparece.



Por favor agradeceria que me digan que pasos debo seguir para deshacerme de este probema.

[msc hotline sat]

Pues vea al respecto:



http://www.bleepingcomputer.com/startups/directxclickers.exe-17069.html



Lance su antivirus arrancando en modo seguro, y , aparte, pruebe el ELITRIIP :





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 7-08-2007

[Osvalder]

Hice lo siguiente:



-Inicié en modo seguro, lance un escaneo de spyware y luego use el elitriip y obtuve el siguiente texto.



Tue Aug 07 19:13:31 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT DIRECTX CLICKS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\directxclickers.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "MICROSOFT DIRECTX CLICKS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\directxclickers.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\SMSC.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEST.EXE --> Eliminado

C:\WINDOWS\SVCLOGON.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\I --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Aug 07 19:14:36 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TFTP3536 --> Eliminado, SdBot.worm.gen.Y

C:\WINDOWS\system32\setup_74115.exe --> Eliminado, SdBot.worm.gen

C:\Archivos de programa\HP\Temp\{3819891A-030B-4a4e-98ED-B28A649E48AB}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Digital Imaging\{3819891A-030B-4a4e-98ED-B28A649E48AB}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)



Tue Aug 07 19:17:17 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT DIRECTX CLICKS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\directxclickers.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "MICROSOFT DIRECTX CLICKS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\directxclickers.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Aug 07 19:17:29 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Despues de esto:

La velocidad de navegacion ha mejorado un poco pero aun es algo lento al cargar una pagina. Y se me hace imposible realizar descargas porque estas son extremadamente lentas. El directxclickers.exe aun se sigue conectando y el Backdoor.ProRat todavia aparece en el resultado de mi antispyware, el resto de las cookies molestas se me borraron.



Tambien me descargue el Spyware blast que encontre en este foro y o estoy usando.

[msc hotline sat]

Pues ya ve lo que se le dice:





"Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\directxclickers.exe "





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y mientras pruebe de renombrar la extension de este fichero a .VIR :



C:\WINDOWS\SYSTEM32\directxclickers.exe





y tras reiniciar nos cuenta el resultado, gracias



saludos



ms, 8-08-2007



Nota: Suba ademas dicho fichero a VirusTotal y posteenos (con un copiar y pegar) el resultado del analisis, gracias:



https://www.virustotal.com/es/



ms.

[Osvalder]

Este es el analisis de virus total, pronto les mandare la muestra.



Análisis del archivo directxclickers.exe recibido el 08.08.2007 19:26:19 (CET)





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.3.0 2007.08.08 Win32/IRCBot.worm.variant

AntiVir 7.4.0.57 2007.08.08 Worm/Sdbot.729088

Authentium 4.93.8 2007.08.08 -

Avast 4.7.1029.0 2007.08.08 Win32:Trojan-gen. {VC}

AVG 7.5.0.476 2007.08.07 -

BitDefender 7.2 2007.08.08 Backdoor.Rbot.AJ

CAT-QuickHeal 9.00 2007.08.08 Backdoor.Rbot.btl

ClamAV 0.91 2007.08.08 -

DrWeb 4.33 2007.08.08 BackDoor.IRC.Sdbot.798

eSafe 7.0.15.0 2007.07.31 -

eTrust-Vet 31.1.5043 2007.08.08 Win32/Rbot.GGG

Ewido 4.0 2007.08.08 -

FileAdvisor 1 2007.08.08 -

Fortinet 2.91.0.0 2007.08.08 -

F-Prot 4.3.2.48 2007.08.08 W32/IRCBotX.KW

F-Secure 6.70.13030.0 2007.08.08 -

Ikarus T3.1.1.12 2007.08.08 Backdoor.Win32.Agobot.AGH

Kaspersky 4.0.2.24 2007.08.08 -

McAfee 5093 2007.08.08 -

Microsoft 1.2704 2007.08.08 Backdoor:Win32/Mocbot!228B

NOD32v2 2444 2007.08.08 probably a variant of Win32/Rbot

Norman 5.80.02 2007.08.08 -

Panda 9.0.0.4 2007.08.08 -

Prevx1 V2 2007.08.08 -

Rising 19.35.22.00 2007.08.08 Backdoor.SdBot.ugj

Sophos 4.19.0 2007.08.01 W32/Rbot-GHT

Sunbelt 2.2.907.0 2007.08.07 -

Symantec 10 2007.08.08 W32.Spybot.Worm

TheHacker 6.1.7.164 2007.08.08 Backdoor/Rbot.btl

VBA32 3.12.2.2 2007.08.07 Backdoor.Win32.Rbot.btl

Webwasher-Gateway 6.0.1 2007.08.08 Worm.Sdbot.729088

Información adicional

Tama�o archivo: 753664 bytes

MD5: 5506ffa2cf7ce567d169b16a60c8fe77

SHA1: b378be6430157cd903d263036dcd5d728f003464

[msc hotline sat]

Envienoslo para controlarlo, pero ya ve que es un backdoor. Mantengalo con la extension .VIR y asi no entrará en uso.



saludos



ms, 8-08-2007

[Osvalder]

No puedo enviar el archivo porque una ventana de Firefox aparece y me dice que esta infectado y no se puede enviar ese archivo cuando lo adjunto a mi mensaje. ¿Que debo hacer?



(Ya comprimi el archivo con Winrar)

[Claudia34]

En relaidad no damos por ahora soporte a firefox mozila, solo a internet. Saludos.

[Osvalder]

¿Y con el internet explorer si se puede enviar normalmente? Yo uso adjuntar archivo, o hay que hacerlo de otra manera?

[lucl]

hola osvalder, desactiva tu antivirus momentaneamente aunque yo para enviarlos con el antivirus activado, lo mando por hotmail, aunque me da error sigo adelante con el envio, porque si se adjunta, haz la prueba, claro esta con el explorer, nos cuentas si puedes, ah ¿y lo renombraste ya a .VIR? saludos

[Osvalder]

El problema parece ser que es el Hotmail el que me analiza los archivos para enviar y no mi antivirus. Me sale una ventana que dice que por la seguridad no puedo enviar ese archivo y se me cancela el adjuntar, no importa si uso Firfox o Explorer.



Ya le puse extension .vir y me ha dejado de molestar, lo raro es que ahora mi antispyware no lo detecta mas. Tambien descargue el Trojan Remover y me detecto mas de 20 problemas instalados en mi PC, y los limpió a todos, asi que mi conexion ya funciona normalmente. Ahora solo me queda deshacerme de ese directxclickers.

[lucl]

ya te comente que aunque hotmail te diga que no te adjunta, tu le das a aceptar y continuas con el mail y si se envia, pero bueno si ya lo has solucionado... no obstante si quieres subelo a virustotal comprimido y todo y a ver que te dice



https://www.virustotal.com/es/





saludos

[Osvalder]

Bueno, le hice caso omiso a la advertencia de hotmail y le puse enviar. Espero que les llegue.

[lucl]

Ok pues tendras que esperar unos dias para la respuesta estate atento a tu post y como lo tienes renombrado a vir al menos no te molestara, lo dejamos aparcado de momento saludos

[msc hotline sat]

La semana que viene ya volvemos al trabajo, pero por si no lo hubieras hecho, empaquetaste el fichero en un ZIP o RAR con password VIRUS ???





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 21-08-2007

[Osvalder]

Si, lo hice siguiendo las instrucciones. Pero no se si se envio correctamente porque el Hotmail me mostraba mensajes de alerta diciendo que el archivo adjunto estaba infectado.

[msc hotline sat]

Pues no, si lo detectó como infectado lo habrá interceptado...



No lo has encriptado con password VIRUS, seguro, pues nosotros hace mas de 15 años que a diario enviamos a MvAfee ficheros infectados asi encriptados sin problemas.



Asegurate de que entras en opciones avanzadas del WINRAR y le das a empaquetar con password, le indicas VIRUS para el mismo, y el fichero resultante nos lo envias a zonavirus@satinfo.es con tu nick del foro como referencia , y no debe interceptarlelo nada ni nadie...



saludos



ms, 24-08-2007