cada día más mosqueado--->ayuda por favor!! (solucionado

[quimeravis]

En primer lugar, dar las gracias de antemano para quien se interese por este mensaje.

El problema que tengo es que el ordenador cada día va más lento e internet también. He pasado el bitdefender y me pone lo siguiente:

D:\WINDOWS\Downloaded Program Files\WebRecomendada.dll infected: Trojan.Dialer.BJ
D:\WINDOWS\Downloaded Program Files\WebRecomendada.dll infected: Trojan.Dialer.BJ
Junto a esto dos mensajes indicándome que no se pueden borrar.

Con el tiempo he visto que tengo procesos un tanto sospechosos funcionando. Investigando encontré una herramienta que se llama hijackthis y con la que he podido sacar lo siguiente:


Logfile of HijackThis v1.98.1
Scan saved at 2:46:18, on 12/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
d:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
D:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
D:\WINDOWS\Explorer.EXE
d:\ARCHIV~1\mcafee.com\vso\mcshield.exe
D:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\Archivos de programa\QuickTime\qttask.exe
D:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
D:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
D:\Documents and Settings\Diego\Mis documentos\diego\exes\pasakche.exe
D:\WINDOWS\System32\twink64.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
d:\archiv~1\mcafee.com\vso\mcvsescn.exe
D:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
D:\WINDOWS\DvzCommon\DvzMsgr.exe
D:\Archivos de programa\ATnotes\ATnotes.exe
D:\Archivos de programa\Palm\HOTSYNC.EXE
d:\archivos de programa\mcafee.com\agent\mcagent.exe
D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\ARCHIV~1\DAP\DAP.EXE
D:\Archivos de programa\WinRAR\WinRAR.exe
D:\DOCUME~1\Diego\CONFIG~1\Temp\Rar$EX20.375\HijackThis.exe

He tecleado esos procesos en google y varios de ellos me mandan a páginas de virus, por ejemplo:smss.exe,winlogon.exe,lsass.exe,svchost.exe,twink64.exe(este me mosquea mucho porque sólo encuentro información en inglés sobre él y no lo entiendo todo.aquí está el enlace=home.cyberdefender.com/risk/ html/20040831073900twink64.exe.log.html ).csrss.exe no sale en el hijack, pero si en procesos activos.

En resumen, ya no sé ni lo que son archivos de windows, ni lo que son virus o si tengo un enanito dentro de la cpu tocandome los h*****.
Si alguien fuera tan amable de echarme una mano y decirme si tengo algo fuera de lo normal o es que estoy paranoico. En el caso de que tenga algo raro, pues me gustaría saber paso por paso como arreglarlo.

GRACIAS!!

[cañera]

vamos a darle una limpieza de porqueria acumulada al pc;
viewtopic.php?f=5&t=5370
en ese link encontrarás el adaware,spybot y spywareblaster,te los descargas y los actualizas.

actualiza tu antivirus y pasalo junto al adaware y spybot en a modo prueba de errores desactivando restaurar sistema,una vez terminado le pasas el spywareblaster,este ultimo lo que hace es proteger tu pc de los espias que controla hasta el momento.
inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas.apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.
ahora eliminaremos basura de temporales;
inicio/todos los programas/accesorios/herramientas del sistema/liberador de espacio en disco y elimina.
y del resultado del hijackthis no te puedo decir nada por que no está completo.
una vez terminado con todo lo que te dije pasaselo le das a scan y luego a save y esa pagina del block de notas no las haces llegar(pero en este mismo tema para no perder el hilo de la ayuda ofrecida).
cuentanos como te fue.

PD.no olvides restaurar sistema una vez que termines todo.

[bionom]

Hola,

Estoy en las mismas que tú: nadie parece darle importancia a twink64.exe, aunque aparece en todos los logs que mandan los usuarios de Hijackthis. También, si tecleas simplemente twink64 en el google, aparecen archivos del tipo "nudeboytwink64_jpg.exe", o sea que está claro que ese archivo es un virus que se descarga al pulsar sobre la foto.

Yo lo quité del menú inicio, porque al iniciar el ordenador intentaba conectarse automáticamente (no sé a donde, aunque he encontrado unas direcciones iP en documentos relacionados con twink64 en Internet). Ni siquiera sé a qué virus venía asociado de los dos que me entraron:

trojan downloader.js

mhtredir.ge

Porque, aunque el antivirus Panda los borró, no aparecen con ese nombre en ninguna parte más que en mi propio informe. Además, parece haber creado un problema con about:blank, proque desde entonces el Ad Aware dice que about:blank es una tracking cookie

¿Has averiguado algo más sobre twink64? ¿Hay que borrarlo? ¿Y qué pasa con los archivos intronet.exe,intron.exe,ipt.exe,ir.exe,usb.exe que da la impresión de que van asociados a él?

Gracias y un saludo

[msc hotline sat]

Aquí tienes la descripcion del troyano en cuestión, editada por SOPHOS:

Virus information
Troj/Dloader-BW

Summary

Summary Description Recovery Advanced

Profile Prevalence: low high
Name Troj/Dloader-BW
Type Trojan

Affected operating systems Windows

Side effects Downloads code from the internet
Reduces system security
Installs itself in the Registry
Leaves non-infected files on computer

Aliases TrojanDownloader.Win32.Delf.cb
Downloader-OV

Protection Download virus identity (IDE) file
Protection available since 4 September 2004 11:59:17 (GMT)
Included in our products from October 2004 (3.86)
More information on IDE files What are IDE files?
How to use IDE files
Get the latest IDE files

Staying up to date
EM Library, part of the Enterprise Manager suite of management tools, allows fully automated web-based installation and updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.


Description

Summary Description Recovery Advanced

This section helps you to understand how this virus behaves.
Troj/Dloader-BW attempts to download and execute EXE files from remote websites.


Recovery

Summary Description Recovery Advanced

This section tells you how to disinfect this virus.
Please follow the instructions for removing Trojans.


Advanced

Summary Description Recovery Advanced

This section is for technical experts, who want to know more about this virus.
Troj/Dloader-BW attempts to download and execute EXE files from remote websites to the Windows system folder as intron.exe, ir.exe, lpt.exe and usb.exe.
The Trojan copies itself to the Windows system folder as twink64.exe and creates the following registry entry to run itself on system logon:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ControlPanel = <Windows system>\twink64.exe internat.dll,LoadKeyboardProfile

Como sea que no tenemos muestra de este gusano, te rogamos nos envies este fichero, antes de eliminarlo, a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta a este Tema, con la utilidad de elimninacion pertinente si presenta problemas de eliminacion o deben restaurarse claves de registro modificadas por la infeccion.

Al mismo tiempo, si por dicho virus encuentra en su ordenador el fichero INTERNAT.DLL , envienos tambien una muestra del mismo, pues en la descripcion hacen referencia tambien a dicho fichero.

saludos
ms, 16-09-2004

[msc hotline sat]

Recibido su e-mail con muestras de ficheros LOADCLEAN.EXE y TWINK64.EXEm que han resultados ser identicos byte a bute, además de ficheros a cero kb que lógicamente no tienen nada, y ejecutado en nuestros ordenadores de pruebas crean claves de registro e instalan el troyano, para el que estamos desarrollando la utilidad ELITWINA.EXE QUE RESTAURARÁ CLAVES, DETENDRÁ EL PROCESO VIRICO ACTIVO EN MEMORIA Y ELIMINARA SUS GUSANOS.



Tan pronto esté terminada dicha utilidad la subiremos a esta web pata que pueda probarse en el foro. Se indicará tambien como respuesta de este Tema.



gracias por su colaboracion.



saludos



ms, 17-09-2004

[msc hotline sat]

A partir de ahora ya se puede detectar dicho virus con McAfee, si se añade a la carpeta del antivirus )donde estan los demás ficheros DAT), el fichero EXTRA.DAT con el soguiente contenido:

________________

247 178 136 180 77 179 192 130 141 49 205 179 158 52 141 243
141 115 141 254 87 232 140 191 214 50 128 104 12 47 86 178
45 232 140 149 214 50 161 143 168 58 130 188 2 60 130 188
190 195 161 22 5 60 130 188 2 60 130 70 192 150 137 188
2 60 66 22 8 60 130 64 35 163 40 182 249 192 127 233
189 150 143 66 204 150 136 67 35 122 169 210 168 54 125 157
68 23 196 22 9 195 163 250 43 150 137 67 33 115 123 22
9 195 161 243 43 150 143 114 9 150 140 126 168 50 66 22
15 23 196 22 9 29 196 124 87 150 143 175 21 150 133 254
2 60 40 22 155 86 104 22 10 126 130 188 2 60 66 22
168 49 193 225 168 52 137 188 2 60 130 215 72 71 114 183
156 49 140 178 235 49 117 76 196 54 64 20 168 150 168 199
137 49 136 179 168 50 64 66 15 43 141 48 15 53 141 85
15 204 162 122 8 254 42 22 168 22 249 55 15 54 141 22
12 254 249 104 12 27 14 177 12 51 240 104 12 63 128 49
8 51 114 76 12 51 153 180
21804 256 12607 340 M1

63 178 136 180 77 179 192 129 141 49 205 179 158 52 141 243
141 115 141 254 87 232 140 147 142 49 177 179 39 176 143 164
13 204 142 80 12 19 249 48 15 82 141 22 9 150 40 22
168 64 246 104 12 38 128 49 8 51 114 76 12 51 153 180

4732 256 12607 340 M2

50 178 136 180 77 179 192 128 141 49 205 179 158 52 141 243
141 115 141 254 87 176 143 143 13 25 14 177 141 51 40 183
168 150 40 22 126 72 86 178 27 62 15 182 13 204 114 178
13 39 138
3723 256 12607 340 M3

53 178 136 180 77 179 192 135 141 49 205 179 158 52 141 243
141 115 141 254 87 176 143 143 13 25 14 177 133 51 40 183
168 150 40 22 126 72 86 178 6 232 140 164 0 177 136 179
242 204 140 179 25 52
3964 256 12607 340 M4

107 178 136 180 77 51 192 133 158 52 141 243 13 51 141 254
87 232 140 190 214 50 151 143 168 55 125 157 68 47 40 182
253 29 196 149 108 64 54 182 88 89 233 48 242 213 143 76
13 250 157 126 2 60 130 188 192 60 130 188 2 254 130 188
2 60 192 244 196 35 192 188 2 60 130 126 2 60 130 188
192 60 130 188 2 126 249 48 15 56 141 206 214 50 128 104
12 41 128 49 8 51 114 76 12 51 153 180
7622 256 12607 340 M6

69 178 136 180 77 51 192 139 158 52 141 243 13 51 141 254
87 232 140 175 49 204 142 88 12 125 140 18 5 55 130 188
2 60 233 246 170 213 143 76 13 250 133 126 2 60 130 188
194 150 192 199 142 49 140 179 112 232 140 175 0 177 136 179
242 204 140 179 25 52
4892 256 12607 340 M8

411 178 136 180 77 179 192 138 141 49 205 179 158 52 141 243
141 115 141 254 87 232 140 174 49 150 136 67 35 122 130 210
168 55 125 157 68 47 40 182 253 29 196 37 97 71 87 178
26 150 157 188 2 60 130 188 2 60 130 188 2 60 130 22
168 150 40 192 242 205 45 79 54 50 141 178 54 50 141 179
65 50 141 169 13 43 141 184 13 99 141 242 13 112 141 248
13 114 141 244 13 118 141 250 13 125 141 245 13 124 141 247
13 51 141 179 78 51 141 191 12 179 141 240 77 4 141 179
34 14 134 243 1 43 179 179 7 204 178 144 25 49 255 158
3 30 129 140 48 28 205 160 48 28 205 133 4 19 211 176
12 80 134 178 48 28 205 133 15 119 136 176 75 13 153 243
56 14 138 243 30 14 138 243 59 13 129 243 56 50 218 74
13 14 138 243 59 13 129 243 56 14 138 243 59 13 131 243
56 12 176 144 77 32 176 144 77 5 132 147 97 48 238 184
12 50 176 176 77 32 238 93 13 14 142 243 59 54 142 245
48 52 205 133 51 35 205 243 56 14 114 140 30 14 114 140
59 57 114 140 101 100 176 76 50 5 140 213 93 14 114 140
59 13 141 243 48 56 205 182 21 17 139 176 48 8 205 188
48 8 205 129 12 92 187 142 14 115 187 182 14 117 176 180
77 5 179 167 77 115 184 142 38 115 158 142 38 115 187 141
25 115 184 142 242 112 45 242 42 115 158 144 46 51 176 140
77 32 176 140 77 5 176 148 77 5 204 145 41 50 255 194
42 14 142 243 59 49 204 142 14 115 158 142 14 115 187 142
46 115 187 211 125 51 176 156 77 5 143 247 48 28 205 160
48 28 205 133 12 81 166 179 140 76 246 48 15 61 141 104
12 46 128 49 8 51 114 76 12 51 153 180
23022 256 12607 340 M9

133 178 139 180 13 179 192 130 61 179 143 163 13 160 138 179
13 179 157 179 46 18 30 180 13 51 13 163 13 16 162 113
19 19 141 176 10 28 239 218 99 28 254 219 4 28 239 218
99 28 253 214 127 95 133 156 111 90 227 156 110 64 229 199
242 48 34 178 33 102 114 182 255 48 13 179 162 116 85 183
13 51 171 179 142 49 140 179 88 150 140 53 168 50 34 22
12 155 202 107 9 51 141 162 13 204 132 28 10 60 205 244
13 51 141 179 242 48 34 178 32 232 140 172 0 177 136 179
242 204 140 179 25 52
9142 256 12607 340 M10

95 178 139 180 77 51 192 130 52 160 138 179 77 51 141 179
64 105 86 178 33 15 114 190 230 56 125 157 68 252 215 126
2 60 104 22 192 176 143 166 13 213 143 76 7 250 136 126
2 60 104 22 74 204 137 34 15 50 140 244 235 49 114 176
74 250 136 126 2 60 104 22 121 176 143 178 13 78 114 176
233 50 141 104 12 31 128 49 8 51 114 76 12 51 153 180

8346 256 12607 340 M19

88 178 139 180 77 51 192 129 61 160 138 179 77 51 141 179
64 105 87 178 33 204 140 194 213 55 141 179 15 51 179 143
235 49 114 176 196 53 215 35 2 60 104 22 74 204 137 34
15 50 140 244 235 49 114 176 74 250 139 233 157 60 130 86
168 71 14 177 15 51 240 76 14 215 140 179 214 50 161 190
143 54 141 76 242 50 141 167 10
6886 256 12607 340 M20

99 178 157 178 77 51 201 220 122 93 225 220 108 87 232 193
32 124 219 32 10 63 205 179 13 51 220 224 158 52 129 243
13 51 141 224 91 233 140 174 172 55 100 114 218 167 87 178
33 146 140 255 242 59 127 181 242 51 6 115 208 243 249 76
12 71 56 162 34 51 143 179 9 29 233 210 121 52 229 199
121 67 183 156 34 62 15 182 13 51 141 178 13 39 64 177
10 51 195 180
7638 256 12607 340 Downloader-OV


_______________

Para gererar dicho ficheros, seleccikonar el script entre lineas y hacer un copiar y peharlo en el bloc de notas y guardarlo como EXTRA.DAT.



saludos

ms, 20-09-2004

[bionom]

Probada con éxito la utilidad Elitwina.exe, limpia un fichero

C:\WINDOWS\Downloaded Program Files\msits.exe --> Limpiado

que no aparecía en la lista conocida de archivos infectados por este gusano:

loadclean.exe,twink64.exe,ir.exe,usb.exe,intron.exe,intronet.exe,ipt.exe

Saludos y muchas gracias

[bionom]

(continuación del mensaje anterior)

... Por cierto:

¿Cómo se quita definitivamente la entrada

Control Panel C:\windows\system\twink64.exe internat dll, LoadKeyboardProfile

del Menú de Incio de Windows (98)?

La tenía desactivada cuando ejecuté la utilidad de reparación. Si la activo y vuelvo a ejecutarla ¿se quitará? Y si no, ¿cómo se quita manualmente?

Saludos

[bionom]

Bueno, como nadie contesta lo haré yo mismo:

Sí, activando la casilla en cuestión (que corresponde al dialer malicioso) y pasando de nuevo la utilidad elitwina.exe, desaparece esa entrada en el Inicio.

[msc hotline sat]

Gracias por la autorespuesta.



La verdad es que por la noche no estoy conectado y me pasó por alto.



De todas formas gracias por la respuesta de que nuestra utilidad le fue satisfactoria y del método de limpieza final que obtuvo experimentalmente.



Y solucionado el problema, se cierra el Tema



saludos



ms, 29-09-2004