trojan w32 looksky (SOLUCIONADO)

Demisaz · Mensaje por **Demisaz** » 23 Sep 2007, 20:38

Hola soy nueva aqui, antes que todo quiero felicitarlos por su pagina, muy buena, bueno ahora les cuento ayer instale una expansiones de los sims que me las baje por el bitcomet, empece a jugar y todo bien, pero depsues de un rato se me cerro el juego y salia que habia un troyano, que me tenia que bajar un antivirus y se me abrian unas paginas de internet con supuestos antivirus, no me baje ninguno porque me dio susto de que sean parte del virus, y puse el nod32 que es mi antivirus, primero parecio estar todo bien pense que se habia eliminado y todo y apage el computador, cuando lo prendi denuevo empezo otra vez con las paginas, alertas de virus, puse el ad-aware y el nod 32, pero no paso nada, despues me baje el Spyware Doctor, que espero funcione, por favor si alguien sabe de que se trata ayudeme, todavia no puedo eliminar este virus.. bueno adjunto unas imagenes de lo que me sale y de las paginas que se me abren. aa se me olvidaba en el analisis del nod32 salia: C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4] no sé si eso sera parte del equipo o del virus y me da susto meterme en eso

bueno muchisimas gracias.

chao!!!

estas son las paginas:

<Intervenido por zonavirus>

Mensaje por **lucl** » 23 Sep 2007, 21:10

el spyware doctor aqui no esta aconsejado pues ralentiza mucho el pc, pasate elistara y peganos el log que te dejara en C infosat.txt , y luego ejecuta hijackthis y nos pegas el log tambien, saludos

http://www.zonavirus.com/descargas/elistara.asp

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

Demisaz · Mensaje por **Demisaz** » 24 Sep 2007, 00:26

ahora me voy bajando el elistara, muchas gracias por responder, de verdad los felicito por el foro...

Demisaz · Mensaje por **Demisaz** » 24 Sep 2007, 01:13

YA esto es del Elistara

Sun Sep 23 18:31:59 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMDEV.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\MSMHOST.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMHOST.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\NSDUO.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\NSDUO.DLL --> Eliminado

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\Documents and Settings\Usuario\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Usuario\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Usuario\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminado Servicio, "mchInjDrv"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Sep 23 19:06:23 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Sun Sep 23 19:06:37 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=Autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sun Sep 23 19:12:48 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Demisaz · Mensaje por **Demisaz** » 24 Sep 2007, 01:14

y esto del HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 19:12:05, on 23-09-2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\Eset\nod32.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Usuario\Escritorio\ELISTARA.31092007.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Documents and Settings\Usuario\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://es.mcafee.com/apps/vsh8/es/redir.asp?affid=0-11&installtype=force&systempopup=true

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MSVPS System - {31CBB13B-244D-4C44-AED5-DCAD70F66281} - C:\WINDOWS\nsduo.dll (file missing)

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Usuario\Escritorio\ELISTARA.31092007.EXE

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 3.75\AMVConverter\grab.html

O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 3.75\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by119w.bay119.mail.live.com/mail/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187554455015

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O21 - SSODL: msmhost - {23198F18-9799-4294-A391-E0375AB2D71F} - C:\WINDOWS\msmhost.dll (file missing)

O21 - SSODL: msmdev - {537C8ACB-798A-4486-9502-8D3EE9DA85FA} - C:\WINDOWS\msmdev.dll (file missing)

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Claudia34 · Mensaje por **Claudia34** » 24 Sep 2007, 01:27

Pues para empezar ese texto que aparece segun dices en nod 32 al escanear es algo normal en todas las pcs aparece, y con respecto al log del elistara te dire que realices un windows update que te faltan parches importantes. Saludos.

Claudia34 · Mensaje por **Claudia34** » 24 Sep 2007, 01:31

Y ahora que estoy viendo con mas detenimiento tambien te falta el service pack 2 mas todas las actualizaciones disponibles hasta este momento. Es muy importante realizar el windows update para que haya menos posibilidades de que los gusanos entren en la pc, sino te vamos a ver mas seguido por aqui pidiendo ayuda al respecto. Saludos.

Demisaz · Mensaje por **Demisaz** » 24 Sep 2007, 01:46

jaja ok me voy a bajar las actualizaciones..

Bueno muchas gracias por todo

chaoi!!!!!

aaa pero instalando las actualizaciones se va a eliminar el virus ..

:shock:

jacotasa · Mensaje por **jacotasa** » 24 Sep 2007, 06:50

[quote="Demisaz"]jaja ok me voy a bajar las actualizaciones..

Bueno muchas gracias por todo

chaoi!!!!!

aaa pero instalando las actualizaciones se va a eliminar el virus ..

:shock:[/quote]

No, pero es buen principio. Mira, con EliStarA se te creo una carpeta en ~~[b]~~C:\Muestras\[/b] en donde se te pusieron unos archivos que se consideran sospechosos. Atienede la indicación de enviar las muestras a "zonavirus@satinfo.es" en el asunto pon como referencia Ref_Demisaz.

Y entonces si, una vez analizadas es probable que se vea lo que hace el MalWare que te entró y se añada en proximas versiones del EliStarA la forma para corregir lo dañado por el miso.

Saludos.

Mensaje por **msc hotline sat** » 24 Sep 2007, 07:46

Justamente los ficheros solicitados corresponden a los significativos para este troyano:

[quote="CAI"]

Matefender H

Fecha de publicación:

miércoles, septiembre 12, 2007

Evaluación de amenazas

Riesgo general Alto

Privacidad: Medio

Productividad: Medio

Integridad del sistema: Medio Características

Categoría: Trojan

También conocido como: AdWare.Win32.Agent.hh [Kaspersky], Program:Win32/UltimateDefender [MS Onecare]

FICHEROS RELACIONADOS

nsduo.dll

msmhost.dll

msmdev.dll

[/quote]

segun puede verse en:

http://ca.com/ve/securityadvisor/pest/pest.aspx?id=453116826

Por lo que tras el analisis de los mismos se implementará su control y eliminacion en nuestras utilidades, de lo cual informaremos, pero de momento, ya sabe a qué atenerse

saludos

ms, 24-09-2007

Demisaz · Mensaje por **Demisaz** » 27 Sep 2007, 23:43

Hola otra vez, despues de hacer todo eso puse el nod32 TODOO EL DIA y elimino todo despues se me cambio el fondo de pantalla que decia WARNING y no me acuerdo que mas y lo cambie... puse el nod32 otra vez istale las actualizaciones el service pack2 y parece que funciono, eso fue ayer y anda todo bien, por lo menos no he tenido problemas, de repente el nod32 detecta algunos archivos maleficos y los deja en cuarentena o los elimina, lo que me da susto es que todavia este el virus y que yo no lo sepa, pero parece no haber nada....

bueno muchisimas gracias muy buena su pagina, y de verdad es de mucha ayuda, ya que uno se pone histerica con cualquier virus o algo que le pase al pc...

bueno eso...

muchas gracias

chaooo!!!!!

:D

Mensaje por **msc hotline sat** » 28 Sep 2007, 06:52

Pues parece que no ha enviado los ficheros pedidos para analizar ...

En consecuencia damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 28-09-2007