Troyano!!! (SOLUCIONADO)

[TinajasXL]

Hola a todos antes de nada me presento, soy Tinajas, me gustaría dar un saludo a todos y agradecer a los que ayudan gratuitamente a los demás con sus consejos.

Mi problema es que el portatil me va lento y tengo algun tipo de virus que me roba la contraseña de mis cuentas.



El virus que he localizado se llama win32.psw.onlinegames.NMY trojan.

Tengo varios screenshots si me decis como subirlos os los muestro.

Estoy pasando el Superantispyware y el Nod32, aunque tambien he pasado el AVG, elistara y elitrip (a partir de ahi me iba mejor, pero los virus siguen estando en el sistema, Superantispyware los localiza, y aunque en el analisis nod32 no los encuentra, si que emite avisos de alerta de virus ocasionalmente)

Bueno cualquier pregunta que pueda facilitar la ayuda será contestada por supuesto.

Gracias por adelantado y un saludo!

[julibaga]

Primero, lo primero....

Bájate las siguientes utilidades:



[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]



Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados.

[msc hotline sat]

Especialmente el ELISTARA, para los ONLINE GAME y enviarnos las muestras que se le pidan, y si con ellos no es suficiente, ya le pediremos el informe del SPROCES:..



saludos



ms, 9-2-2009

[TinajasXL]

[b]

Aquí está el InfoSat:[/b]



Mon Feb 09 17:14:05 2009

EliTriIP v5.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8543

Nº Total de Ficheros: 100092

Nº de Ficheros Analizados: 30788

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 09 17:15:39 2009

EliTriIP v5.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8543

Nº Total de Ficheros: 100092

Nº de Ficheros Analizados: 30788

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[flacoroo]

como no se encontro nada en el archivo de los elis...

haz esto: bajate y ejecuta el[url=http://www.zonavirus.com/descargas/sproces.asp]SPROCES[/url] y posteanos el C:SPROCLOG.TXT que te generará el SPROCES.

[msc hotline sat]

Es que no vemos el informe del ELISTARA !!!



Si no lo ha probado primero pruebelo, y luego posteenos el contenido TOTAL del c:\infosat.txt



saludos



ms, 9-2-2009

[TinajasXL]

[quote="msc hotline sat"]Es que no vemos el informe del ELISTARA !!!



Si no lo ha probado primero pruebelo, y luego posteenos el contenido TOTAL del c:\infosat.txt



saludos



ms, 9-2-2009[/quote]

He posteado el contenido total del unico archivo en el directorio "C/" que se llama infosat; es decir; no hay mas

Lo que he hecho ha sido pasar el elistara y el elitrip y despues copiar el contenido TOTAL del archivo "InfoSat" y pegarlo directamente en el post.

[msc hotline sat]

Pues no vemos el informe del ELISTARA, pruebalo de nuevo y veras como se añade al infosat.txt el resultado de su proceso.



saludos



ms, 9-2-2009







NOTA: Cuando llega a un tamaño demasiado grande, se borra el histórico y se empieza de nuevo, quizas fue este el caso. ms.

[TinajasXL]

Siento decir que tiene mas de 500.000 caracteres, no cabe el registro completo, como puedo adjuntarlo?

Gracias



Edito: En 6 post cabe... :roll:

[msc hotline sat]

Deben ser las lineas del HOSTS que inserta el SPYBOT



eliminalas y te quedará reducido y manejable



Para ello selecciona desde que empieza la primera



O1 - Hosts: 127.0.0.1 localhost



... hasta la ultima O1 -Hosts lo que sea,



(o sea todas las O1 -)





y una vez seleccionadas pulsas SUPR. Luego salvas de nuevo dicho fichero o nos posteas directamente lo que queda, gracias



saludos



ms, 9-2-2009

[TinajasXL]

[quote="msc hotline sat"]Deben ser las lineas del HOSTS que inserta el SPYBOT



eliminalas y te quedará reducido y manejable



Para ello selecciona desde que empieza la primera



O1 - Hosts: 127.0.0.1 localhost



... hasta la ultima O1 -Hosts lo que sea,



(o sea todas las O1 -)





y una vez seleccionadas pulsas SUPR. Luego salvas de nuevo dicho fichero o nos posteas directamente lo que queda, gracias



saludos



ms, 9-2-2009[/quote]

Esto se complica, todas las lineas excepto las que os mostre antes son Hosts son 01 y no hay nada mas.

[msc hotline sat]

Hombre, el ELISTARA crea un informe por accion directa y otro por exploracion, y dentro de la exploracion al menos al final hay un resumen...



En cualquier caso, acabo de subir a esta web la nueva version 17.97 del ELISTARA, descargala y pruebala, pues hay mas ONLINE GAMES controlados y demas malwares:



---v17.97-( 9 de Febrero del 2009) (Muestras de (3)PWS-OnLineGames.Olhrwef, (4)PWS-OnLineGames.Vamsoft, (2)NaviPromo, (2)AutoRun(Recycle) "ROOT y R00T.EXE", YahLover "SSCVIHOST.EXE", (2)StartPage-CWZ "WIN.EXE", DownLoader.Agent.AUJD "CSRSSC.EXE", BackDoor.Agent.ADOC "SRDSHD.EXE", SpyRealtek "ALCMTR.EXE" y TBConduit "TB****.DLL")





saludos



ms, 9-2-2009

[TinajasXL]

Nada, me sigue apareciendo la lista interminable. Os pongo lo que hay, con unas lineas del princi`pio y unas del final:





Mon Feb 09 22:18:38 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

[b]...

Un largo etcétera....



y

...[/b]

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxlinks.com





Linea Eliminada del HOSTS --> 127.0.0.1 zyban-zocor-levitra.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Hasta aquí. No se si tiene lago que ver con lo que me decias





Este es otro:

Mon Feb 09 22:26:45 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8535

Nº Total de Ficheros: 96671

Nº de Ficheros Analizados: 32611

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0











Espero que sea esto

[msc hotline sat]

Sí, la lista "Interminable" la genera el spybot...



Y si persiste el problema, pruebe la nueva version del ELISTARA 17.98 que ayer subimos a esta web, a ver si le detecta y elimina alguna variante nueva que ya se controle, o pida muestras de sospechosos...



Sino, lance este AV ONLINE y nos postea el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 10-2-2009

[TinajasXL]

[b]Vale, aquí está el scanner:[/b]



Tuesday, February 10, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, February 10, 2009 11:41:46

Records in database: 1777818

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

C:\

D:\

E:\

F:\

Scan statistics

Files scanned 149417

Threat name 1

Infected objects 1

Suspicious objects 0

Duration of the scan 02:09:43



File name Threat name Threats count

C:\Documents and Settings\Manuel\Escritorio\Antivirus\ELISTARA.AØØBBØØI.EXE Infected: Trojan-Downloader.Win32.IstBar.ghe 1

The selected area was scanned.

[b]

Espero que se vea bien lo que necesitan[/b]

[msc hotline sat]

Este es un falso popsitivo que tiene con el ELISTARA, ni caso.



Pues nada, ya no queda ni un bichito, asi que reinicia y dinos si persiste alguna anomalia, y sino, ya daremos por solucionado el Tema



saludos



ms, 10-2-2009

[TinajasXL]

Parece que esta resueilto, aunque no tendría demasiada razón de ser ya que no he seguido ningun método que no haya realizado previa consulta del foro.

En cualquier caso volveré a escanear el sistema on Nod32 y SUPERAntispyware, que son los que mas virus me han llegado a localizar.

Muchas gracias

[msc hotline sat]

Gracias por su confianza ! :wink:



Pues damos el Tema por solucionado y procedemos a cerrralo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-2-2009