trojanClicker.Delf.Naz

cortegasub · Mensaje por **cortegasub** » 15 Feb 2008, 20:13

Hace unos días el NOD32 me detecto este troyano, y desde entonces no soy capaz de borrarlo con nada, he intentado con antivirus, panda online, spybot, adaware, hijackthis, con todo lo que soy capaz de manejar, y no hay manera.

El problema es que me consume recursos del ordenador llegando a bloquearlo, saturando el proceso explorer.exe, llevando a la cpu a trabajar al 100%.

Estoy desesperado con este troyano y no me gustaría tener que volver a formatear el ordenador, como hace 2 meses con otro virus.

Si podeis orientarme o ayudarme os lo agradecería muchísimo.

Muchas gracias de antemano.

Mensaje por **lucl** » 15 Feb 2008, 21:03

Desactiva restaurar sistema y arranca tu pc en modo seguro, tu propio antivirus deberia eliminarlo

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

una vez analizado y eliminado el virus reinicia en modo normal y activa de nuevo restaurar sistema , nos comentas como fue, saludos

cortegasub · Mensaje por **cortegasub** » 15 Feb 2008, 21:07

lo he intentado como me dijistes, en modo a prueba de fallos como administrador, y nod32 me dice que no puede.

estoy desesperado con este virus

Mensaje por **flacoroo** » 15 Feb 2008, 21:18

como n puedes entrar en modo seguro debes de tener un bagle...bajate este archivo y lo ejecutas....

[url=http://www.zonavirus.com/descargas/elibagla.asp][u]~~[b]~~Descargar Elibagla [/b][/u][/url]

y despues ya podras entrar en modo seguro, lo vueleves a ejecutar y tambien en bajate estos otros y los ejecutas en modo seguro, no se te olvide deshailitar la opcion Restaurar sistema.....

bajate estos programitas

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

[url=http://www.zonavirus.com/descargas/elinotif.asp][u]~~[b]~~Descargar Elinotiff [/b][/u][/url]

[url=http://www.zonavirus.com/descargas/elipen.asp][u]~~[b]~~Descargar Elipen [/b][/u][/url]

despues nos pegas el resultado que se crea en C:infosat.txt

cortegasub · Mensaje por **cortegasub** » 15 Feb 2008, 22:19

no puedo descargar las utilidades que me recomiendas, ya que asl pulsar sobre los links que me pones, me aparece la página que habla del programa, pero al darle a descargar en la zona inferior de la página, me aparece "pagina no encontrada".

supongo que será algo temporal, asi que lo intentaré de nuevo mas tarde

Claudia34 · Mensaje por **Claudia34** » 16 Feb 2008, 03:58

Intentalo desde otra pc (un ciber) guardalos en un diskette y utilizalos luego en tu pc como se acostumbra.

Saludos.

Mensaje por **msc hotline sat** » 16 Feb 2008, 07:11

Ayer tuvimos problemas en el servidor de descargas, asi que como indoca Claudia34, pruebalo de nuevo.

Y ya que lanzaste el HJT, posteanos su log, sino, no te sirve de nada haberlo lanzado...

y si no lo guardaste, hazlo de nuevo:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 16-2-2008

cortegasub · Mensaje por **cortegasub** » 16 Feb 2008, 11:18

gracias, ya he podido descargar las utilidades que me dijisteis desde otro ordenador.

si puedo entrar a prueba de fallos de todos modos cuelgo el log de hijackthis y el otro que me pedisteis, y ahora que?

entro a prueba de fallos y ejecuto los otros o me espero.

Logfile of HijackThis v1.99.1

Scan saved at 11:07:51, on 17/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0F3DAAE0-51FE-4567-949C-4CEADAF39E83} - c:\windows\system32\dssecl.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE4B33E3-7091-49F8-A4EF-EF48235CD880}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - avldr.dll (file missing)

O20 - Winlogon Notify: uwfcauip - C:\WINDOWS\SYSTEM32\dssecl.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxcg_device - - C:\WINDOWS\System32\lxcgcoms.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Sun Feb 17 11:09:04 2008

EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Feb 17 11:09:07 2008

EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5178

Nº Total de Ficheros: 83283

Nº de Ficheros Analizados: 8115

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

en modo a prueba de fallos nod32 no puede limpiarlo

gracias

Mensaje por **msc hotline sat** » 16 Feb 2008, 11:32

Pues de entrada te faltan todos los parches del SP2 y posteriores !!!:

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Actualizalos conn un windowsupdate.

Luego, tienes un ficheros sospechoso:

c:\windows\system32\dssecl.dll

envianoslo para analizar, probalemente será alguna nueva variante del VUNDFO, pero es extraño que el ELISTARA no haya pedido ya el envio de la muestra ??? o no lo has probado como indicó flacoroo ???

y esta clave eliminala:

O20 - Winlogon Notify: avldr - avldr.dll (file missing)

para todo ello:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 16-2-2008

cortegasub · Mensaje por **cortegasub** » 16 Feb 2008, 14:39

he seguido vuestras instrucciones, y he pasado los programas que me indicasteis en modo a prueba de fallos, y han eliminado alguna cosilla que ni sabia que tenia, pero el troyano en cuestión no, asi que he enviado la muestra que me comentasteis, (espero haberlo hecho bien), y aprovecho para pegar los log de los programas que he pasado.

por cierto tambien elimine la entrada de hijackthis que me dijisteis.

Sun Feb 17 11:38:51 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 17 11:39:53 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\backups\BACKUP-20080114-000712-974.DLL --> Eliminado, DownLoader.Delf.DZS

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

C:\WINDOWS\system32\DPNWSOCKB.DLL --> Eliminado, DownLoader.Delf.DZS

Nº Total de Directorios: 5177

Nº Total de Ficheros: 83284

Nº de Ficheros Analizados: 15137

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Sun Feb 17 11:59:01 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Sun Feb 17 11:59:07 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5190

Nº Total de Ficheros: 83315

Nº de Ficheros Analizados: 14441

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Feb 17 12:05:54 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Unidad F:\ Protegida

Logfile of HijackThis v1.99.1

Scan saved at 14:39:43, on 17/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\Notepad.exe

C:\Archivos de programa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0F3DAAE0-51FE-4567-949C-4CEADAF39E83} - c:\windows\system32\dssecl.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE4B33E3-7091-49F8-A4EF-EF48235CD880}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: uwfcauip - C:\WINDOWS\SYSTEM32\dssecl.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxcg_device - - C:\WINDOWS\System32\lxcgcoms.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Claudia34 · Mensaje por **Claudia34** » 16 Feb 2008, 19:18

De paso como te decia msc hotline sat debes urgentemente realizar un windows update lo antes posible sin perder tiempo, tu pc esta en constante peligro de infectarse.

Saludos.

Mensaje por **msc hotline sat** » 16 Feb 2008, 19:25

Efectivamente, como muy bien indica claudia34, debes actualizar los parches lnzando un windowsupdate, como ya te habia dicho...

Aparte, y esperando el lunes, cuiando volvamos al trabajo en SATINFO, encontrar el fichero pedido para analizar por considerarlo sospechoso:

c:\windows\system32\dssecl.dll

para ganar tiempo subelo al VIRUSTOTAL y posteanos el resultado, asi sabremos si se confiorman nuestras sospechas:

https://www.virustotal.com/es/

saludos

ms, 16-2-2008

trojanClicker.Delf.Naz

trojanClicker.Delf.Naz

gracias, pero no funciona

no puedo descargar

hecho

enviada la muestra