Problemas con KEYLOGGER (SOLUCIONADO)

[Rerroll]

Buenos días, es mi primer mensaje y requiero ayuda con un keylogger.



Primero de todo me gustaría notificar que de informatica entiendo lo justo, de manera que agradecería respuestas sin muchos tecnicismos (GRACIAS!)



Pues bien, el problema es que esta semana he sido infectado por un keylogger y llevo unos días intentando solucionarlo.



He usado el Spyware, el avast! y el adware y he eliminado 2 troyanos pero no estoy seguro de haber eliminado el ya mencionado KEYLOGGER.



Es por eso que me gustaría que me comunicarais como identificar si tengo uno... de momento he pensado en escribir la lista de procesos del administrador de tareas.



Son las siguientes:



winlogon.exe 1356 KB (sin descripción)

TeaTimer.exe 89.844 KB System settings protector

taskmgr.exe 2.580 KB Administrador de Tareas

taskeng.exe 3.500 KB Motor de Programador

SpybotSD.exe 118.100 KB Spybot - Search & Destroy * (lo tengo escaneando)

RtHDVCpl.exe 3.876 KB Microsoft Sync Center

iexplorer.exe 122.988 KB Internet Explorer

ieusler.exe 6.628 KB Internet Explorer

FlashUtil9f.exe 940 KB Adoble Flash Player Helper 9.0 r124

explorer.exe 40.124 KB Explorador de Windows

csrss.exe 7.016 KB (sin descripción)

avgtray.exe 608 KB AVG Tray Monitor

A ti2evxx.exe 1624 KB (sin descripción)



Hay algo sospechoso en esos procesos? Falta información de algo? Existen otros metodos para saber si aun tengo el KEYLOGGER?



NOTA: Uso el Windows Vista.



Por cierto, otra cosa que no se si podria ser util pero que me gustaria comentar es la siguiente:



Desde que he sido infectado por el keylogger (o en esta ultima semana) me ha canviado el aspecto de la barra de inicio y el menu de inicio.



Lo mas curioso, es que dicha barra esta configurada para que sea COMO LA TENIA ANTES pero misteriosamente ha canviado.



(¿eso tiene algo que ver? ¿se puede solucionar?)



Muchas gracias por vuestra atención, necesito la ayuda urgentemente, GRACIAS!!







EDIT: Acabo de pasar un programa (Malwarebytes) para intentar solucionar esto.



Despues de una hora de espera tengo los resultados del Malwarebytes, ha eliminado 1 carpeta y 4 archivos.. ahi va:



Malwarebytes' Anti-Malware 1.38

Versión de la Base de Datos: 2314

Windows 6.0.6001 Service Pack 1



20/06/2009 15:34:37

mbam-log-2009-06-20 (15-34-37).txt



Tipo de examen : Examen Completo (C:\|F:\|G:\|H:\|I:\|)

Objetos examinados: 224133

Tiempo transcurrido: 1 hour(s), 19 minute(s), 31 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 1

Ficheros Infectados: 4



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.



Ficheros Infectados:

c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\About RelevantKnowledge.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.

c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Privacy Policy and User License Agreement.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.

c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Support.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.

c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Uninstall Instructions.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.





Ademas, adjunto una fotografia



http://img23.imageshack.us/img23/9179/barra3u.jpg



GRACIAS

[julibaga]

El eliminado, RevelantKnowledge tenía que ver con el keylogger.

Mira si encuentras este archivo: [b]rlvknlg.exe[/b] que debería estar en C:\windows\[b]rlvknlg.exe[/b]

le añades la extensión [b].vir[/b] y lo envías para analizar, si lo encuentras.

Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

Además, bájate las siguientes utilidades:

[b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b]

[b][url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url][/b]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

[msc hotline sat]

Teniendo en cuenta que dice [b][i][u]"NOTA: Uso el Windows Vista."[/u][/i][/b], me abstengo.



Suerte !



ms, 21-6-2009











NOTA: De todas formas, analizaremos las muestras de posibles malwares que nos envies, e informaremos

[Rerroll]

Gracias por comentarme los pasos que debo seguir y la ayuda, AHORA MISMO LO HAGO, pero antes me gustaría pegaros los resultados de Kaspersky online:



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0 REPORT

Sunday, June 21, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner version: 7.0.26.13

Program database last update: Saturday, June 20, 2009 16:05:27

Records in database: 2371145

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

C:\

D:\

F:\

G:\

H:\

I:\



Scan statistics:

Files scanned: 137286

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 02:08:24



Por cierto el archivo rlvknlg.exe no lo encontre ni usando la herramienta ''buscar'' ni en C:/wind[b][i]ow[/i][/b]s/ (¿es eso bueno?)



Ahora mismo uso el Sprocess, el Elistara y el Elitriip



EDIT: No voy a poder pasarlos, ya que no hay manera de encontrarlos gratuitamente. Existen otros programas que pueda utilizar? ya use el avast!, spyware, avg, ccleaner, malwarebytes y Kaspersky Online

[msc hotline sat]

Pues si no lo ha visto el AV ONLINE es que no está o lo oculta algun rootkit o similar, pero efectivamente es parte de dicho keylogger:


[quote="liutilities.com"]
What is rlvknlg.exe?



rlvknlg.exe is a process belonging to RelevantKnowledge Adware. This process should be removed to ensure your personal privacy.
[/quote]

Para salir de dudas, arranca en modo seguro con funciones de red y lanza el mismo AV ONLINE, asi puede que, si está, lo detecte.



Igualmente en dicho modo puedes mirar si lo detecta el ELIMOVER que ya conoces entrando [b]C:\windows\rlvknlg.exe[/b]



Y nos comentas el resultado, gracias



saludos



ms, 21-6-2009

[julibaga]

Y sí. Si no encuentras ese archivo (C:\windows\rlvknlg.exe) es bueno que no esté.

[msc hotline sat]

Sí, pero lo malo sería que estuviera y no se dejara ver, como hacen los rootkits...



Hay un truco para salir de dudas: En la ruta donde debería estar, C:\windows\ , mira si puedes crear una carpeta que se llame rlvknlg.exe , y si puedes es que no hay el fichero, luego la borras y listos



Es una manera a la que recurrimos para estar seguros, sin que nos pueda engañar.



saludos



ms, 22-6-2009

[julibaga]

Buen truco. No se me había ocurrido. Siempre se aprende con el Sensei [color=#800000]msc hotline sat[/color]. :D

[Rerroll]

Al final en modo seguro lo halle y lo elimine.



Sigo infectado? Que debo hacer ahora?



Gracias

[julibaga]

Cuando sea así, en vez de eliminarlo le añades la extensión .vir y lo envías para su análisis. De esa manera pueden incluirlo en las utilerías de Satinfo para eliminar, con todo lo que conlleve reparar.

Pues ahora mira si te sigue dando el problema. De todas formas, no estaría de más que crearas la carpeta como te indica [color=#800000]msc hotline sat[/color], para que no pueda volver a generarse con ese nombre.

[Rerroll]

Pase el Kaspersky online en modo seguro con funciones de red y no encontro nada =)



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0 REPORT

Monday, June 22, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner version: 7.0.26.13

Program database last update: Sunday, June 21, 2009 22:19:00

Records in database: 2375193

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

C:\

D:\

F:\

G:\

H:\

I:\



Scan statistics:

Files scanned: 137227

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 01:34:47



No malware has been detected. The scan area is clean.



The selected area was scanned.





Y otra cosa, me salen que me faltan 2 actualizaciones y estoy pasando la 2nda. Una de las actualizaciones me dio error:





Actualización de seguridad para Microsoft XML Core Services 4.0 Service Pack 2 (KB936181)



Fecha de instalación: ‎22/‎06/‎2009 15:39



Estado de la instalación: Errores



Detalles del error: Código 643



Tipo de actualización: Importante



Se ha detectado un problema de seguridad en Microsoft XML Core Services (MSXML) que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. Una vez instalado, este elemento no se puede desinstalar.



Más información:

http://go.microsoft.com/fwlink/?LinkId=88350



Ayuda y soporte técnico:

http://support.microsoft.com



lo mas preocupante esque se ve que lleva dias intentando realizar esta actualizacion ( desde el 15 de enero) y siempre siempre da error. Ademas, esta catalogada como ''importante'' y como dice ''podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo''



Es preocupante supongo (ya decia yo que desde hace tiempo SIEMPRE que apagaba el ordenador se ponia a actualizar siempre igual, seria que lo intentaba siempre y daba error, no se)



NOTA: ya eliminé el archivo ese (no me deja crear la carpeta) lo siento pero lo elimine y me olvide de eso de la extension vir

[msc hotline sat]

Pues poco podemos hacer si has "quemado tus naves"...



Como bien dice julibaga, no borres los ficheros sospechosos, añadeles la extension .VIR y envianoslos para analizar, para obrar en consecuencia. Piensa que los virus y troyanos son apliccaiones que se instalan en el registro, y conviene restaurar las claves modificadas, ademas de eliminar otros restos, lo cual hacemos con nuestras utilidades.



En consecuencia damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos.



saludos



ms, 22-6-2009









Nota: y "arigatô" julibaga, por el título que me otorgas :mrgreen: . Solo aprendí unas cuantas palabras cuando estuve en Japón, y una de ellas fué la de "Sensei" :wink: y otra la de "arigatô", claro ! ms.