Me han metido un spyware

[Fenix]

Continuamente me apaecen mensajes de alertas por parte de windows xp y el nombre por lo visto se llama win32.Banker .FS, francamente no se como eliminarlo ya que no puedo restaurar el sistema por no se que de directiva de grupo o algo de eso, ¿alguien puede ayudarme opr favor? :cry:

[julibaga]

Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b],

copias el contenido y lo pegas en tu siguiente post para ver los resultados.

[Fenix]

Fri Feb 20 17:47:20 2009

EliStartPage v18.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL.Muestra EliStartPage v18.06

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\WNDUTL32.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"

Eliminada Class, "{020487CC-FC04-4B1E-863F-D9801796230B}" -> C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\wndutl32.dll

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Feb 20 17:47:51 2009

EliStartPage v18.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 3055

Nº Total de Ficheros: 43424

Nº de Ficheros Analizados: 9859

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sistema Infectado por el PWS-NTOS

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Feb 20 17:51:29 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADSNDSV.EXE --> Acceso Denegado.

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\adsndsv.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\adsndsv.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\adsndsv.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\adsndsv.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.



Fri Feb 20 17:51:41 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3054

Nº Total de Ficheros: 43429

Nº de Ficheros Analizados: 9425

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[julibaga]

Pues envía las muestras indicadas:
[quote="Fenix"]Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL.Muestra EliStartPage v18.06

a "virus@satinfo.es". Gracias.[/quote]
[quote="Fenix"]Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\adsndsv.exe

a "virus@satinfo.es". Gracias.[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Además actualizar el windows con el SP3 y parches posteriores, sobre todo los parches MS08-067 y MS08-078

[url=http://www.microsoft.com/downloads/thankyou.aspx?familyId=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displayLang=es]SP3 para Windows XP[/url]
[quote="Fenix"]No detectado SP3 de Windows XP[/quote]

[msc hotline sat]

Y ya que se ve:



[b][i]C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.[/i][/b]



dinos si con el word, al acentuar una palabra, por ejemplo camión, te sale cami´´on , pues en alguna ocasion ha sido uno de los que lo causan.



No es por el virus propiamente, sino por la compilacion, pero, por si es el caso, convendrá que nos envies muestra de dicho fichero, para lo cual mira si lo ves o sino prueba arrancando en modo seguro, y le añades la extension .VIR o lo mueves a C:\muestras



Si no puedes, mira de hacerlo con el ELIMOVER, dandole a buscar la ruta y fichero:



C:\WINDOWS\SYSTEM32\NTOS.EXE



bien en modo normal o sino en modo seguro, y si no pudieras de ninguan de las dos formas, detienes su proceso desde el Administrador de Tareas y pruebas entonces.



En el peor de los casos lo hariamos arrancando en consola de recuperacion, con el CD de instalacion y pulsando R cuando te lo preguntara tras arrancar, pero mira si puedes ahorrartelo :wink:



En cuanto lo tengas, nos lo envias como te ha indicado julibaga, para analizarlo e implementar su control y eliminacion en nuestras utilidades, como las demas muestras que nos envies, si procede, claro , de lo cual informaremos





Saludos



ms, 20-2-2009

[msc hotline sat]

Recibida muestra del NTOS, se implementa su control y eliminacion en el ELISTARA 18.07 de hoy, pero descargar en la misma carpeta donde tiene el ELISTARA, el fichero ELINOTIF.DLL:




[quote]
[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



SALUDOS



ms, 23-2-2009