SPYWARE EN EL ESCRITORIO

[nirkscad]

SALUDOS



TENGO UN PC CON WINDOWS XP RPOFESIONAL



YA CORRI EL ADWARE ACTUALIZADO Y NADA

CON EL PC EN MODO SEGURO ME DETECTO COMO 216 ARAÑITAS PERO NO SOLUCIONNO EL PROBLEMA DEL ESCRITORI



TENGO UN PROBLEMA CON EL ESCRITORIO DE MI PC LO QUE PASA DERREPENTE EL ESCRITORIO CABIO DE FONDO "POR ASI DECIRLO" LO QUE PASA ES QUE APARECIO UN FONDO ROJO CON UNA PEQUEÑA VENTANA ANUNCIANDO UN SPAYWARE, LO RARO ES QUE NO PUEDO USAR EL BOTON DERECHO DEL RATON, PARA CAMBIAR EL ESCRITORIO, SOLO DESDE PANEL DE CONTROL, PERO HO DESILUCION, EL SCROLL PARA SELECCIONAR EL FONDO DE PREFERENCIA ESTA DESABILITADO Y AL FIANAL ESTA UNO QUE TIENE UN ICONO DE INTERNET EXPLORER Y SE LLAMA "DECKSPOT"

EL LA CARPETA DE WINDOWS ELIMINE EL ARCHIVO DESKTOP Y DEJO DE APARECECER LA PUBLICIDAD PERO SIGO SIN PODER USAR EL ESCRITORIO CON EL BOTON DERCEHO DE DEL RATON

EN C:/Exite una carpeta "DESKTOP" Y DENTRO ESTAN LOS ACCESOS DIRECTOS LOS UNICOS QUE QUEDARON POR QUE YO TENIA MAS Y LOS BORRO TODOS......

SALUDOS AYUDA POR FAVOR.......

[msc hotline sat]

Los cambios que el intruso puede haber hecho en el registro, pueden impedir la accion deseada del botón derecho del mouse, y si no detecta ninguna anomalía con las utilidades disponibles, antivirus y antispywares, la restauracion del registro se puede hacer a través de una reparacion de windows.



Arranque con el CD de instalacion del XP, copmo si fuera a instalar, y tras aceptar contrato, cuando detecte la particion instalada, seleccione REPARAR, no reinstalar, àra no perder las aplicaciones instaladas.



Finalice con un windowsupdate y reinice



saludos



ms, 30-03-2005

[juanmi]

tengo el probelma citado anteriormente pero con el windows 2000 y no logro solucionarlo aplicando los pasos antes citados.



Paso al modo seguro y utilizo el spybot y adaware y posteriormente reparo con el disco de intalacion de windows y sigo con el mismo problema.



un saludo y gracias anticipadas por vuestra ayuda

[msc hotline sat]

Eb mi anterior post indicaba:


[quote]Arranque con el CD de instalacion del XP, copmo si fuera a instalar, y tras aceptar contrato, cuando detecte la particion instalada, seleccione REPARAR, no reinstalar, àra no perder las aplicaciones instaladas.



Finalice con un windowsupdate y reinice [/quote]

¿Ha seguido estos pasos?



Comentenos los resultados como repuesta de este Tema, gracias



saludos



ms, 5-04-2005

[juanmi]

He seguido los pasos y todo sigue igual.El windows si que hace como que repara los archivos dañados o que no estavan como en origen.No es solo el boton derecho tambien tengo la fucio de admisnistrador de sistema deshabilitada al hacer un ctrl+alt+supr.Creo que tendre que formatear hay algun archivo dañado y no logro encontrarlo.



Un saludo y gracias por tu ayuda.

[maura63]

Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[juanmi]

Logfile of HijackThis v1.99.1

Scan saved at 12:36:34, on 08/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\DivX\DivX Player\DivX Player.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O15 - Trusted Zone: *.blazefind.com (HKLM)

O15 - Trusted Zone: *.clickspring.net (HKLM)

O15 - Trusted Zone: *.flingstone.com (HKLM)

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted Zone: *.my-internet.info (HKLM)

O15 - Trusted Zone: *.searchbarcash.com (HKLM)

O15 - Trusted Zone: *.searchmiracle.com (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotch.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.vxiframe.biz (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 66.197.161.149

O15 - Trusted IP range: 66.197.161.149 (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC1DA35-9FBD-4BE4-AC60-A83AE28D3378}: NameServer = 194.179.1.100,194.179.1.101

O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\g204lcdq1f0e.dll (file missing)

O20 - Winlogon Notify: StillImage - C:\WINNT\system32\guard.tmp (file missing)

O23 - Service: AVG6 Service (AvgServ) - GRISOFT s.r.o - C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[maura63]

En modo seguro lanza hijackthis pulsa scan marca las siguientes entradas y FIX





C:\Archivos de programa\DivX\DivX Player\DivX Player.exe - Unknown

O15 - Trusted Zone: *.blazefind.com (HKLM) -

O15 - Trusted Zone: *.clickspring.net (HKLM) -

O15 - Trusted Zone: *.flingstone.com (HKLM) -

O15 - Trusted Zone: *.iframedollars.biz (HKLM) -

O15 - Trusted Zone: *.mt-download.com (HKLM) -

O15 - Trusted Zone: *.my-internet.info (HKLM) -

O15 - Trusted Zone: *.searchbarcash.com (HKLM) -

O15 - Trusted Zone: *.searchmiracle.com (HKLM) -

O15 - Trusted Zone: *.skoobidoo.com (HKLM) -

O15 - Trusted Zone: *.slotch.com (HKLM) -

O15 - Trusted Zone: *.slotchbar.com (HKLM) -

O15 - Trusted Zone: *.vxiframe.biz (HKLM) -

O15 - Trusted Zone: *.windupdates.com (HKLM) -

O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) -

O15 - Trusted Zone: *.ysbweb.com (HKLM) -

O15 - Trusted IP range: 66.197.161.149 -

O15 - Trusted IP range: 66.197.161.149 (HKLM) -



O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\g204lcdq1f0e.dll (file missing) - UnknownO20 - Winlogon Notify: H323TSP - C:\WINNT\system32\g204lcdq1f0e.dll (file missing) -

O20 - Winlogon Notify: StillImage - C:\WINNT\system32\guard.tmp (file missing) - UnknownO20 - Winlogon Notify: StillImage - C:\WINNT\system32\guard.tmp (file missing) -



Saludos

maura63

[msc hotline sat]

Pudo haber tenido este adware;



http://securityresponse.symantec.com/avcenter/venc/data/adware.cdt.html



que dejara el acceso a las webs detalladas inaccesible, aun habiendo sido eliminado, pero ello no debería ser motivo de lo que le acontecía.



El resto de claves llaman a ficheros inexistentes (missing) por lo cual no eran activas, y solo una de ellas, la que llamaba al PLAYER.EXE podía afectar si este fichero contiene un gusano.



Por ello le pedimos que nos envie dicho fichero:



C:\Archivos de programa\DivX\DivX Player\DivX Player.exe



a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y ègar de este post, para que podamos contestarle como respuesta a este Tema, indicandole el resultado de nuestro analisis y la utilidad de eliminacion si procede.



Luego mueva este fichero a cuarentena o a un disquete, mientras recibe nuestra contestacion.



saludos



ms, 8-04-2005

[beatle]

YO he tenido el mismo problema y afortunadamente parece que lo he solucionado, en el siguiente foro en inglés parecen haber dado con la solución:



http://www.aluriasoftware.com/forum/thread701.html



yo he seguido los paso de:

HillBillyCoder y despues com el dice los de oddiophile y JerryP



En resumen hay que cargarse el virus:

que son un montón de archivos ???.exe (tres caracteres aleatorios.exe) que se han colocado en el directorio de windows. Si haces una busqueda (???.exe) en el directorio windows verás que aparecen un montón creados el mismo dia e iguales de tamaño, si los comparas con lo que te sale en: Hijackthis verás las coincidencias.



Despues de eliminarlos hay que corregir el registro tal y como indican en el foro que te he dicho. Bueno esto es un resumen, sigue los consejos del foro que te comento y creo que lo solucionarás.



Espero que te sirva de ayuda.

[msc hotline sat]

Pues muchas gracias por indicarlo, a ver si es el caso...



La verdad es que en el log del HJT no veo ficheros de windows (winnt en este caso) de tres letras, como indicas.



Y sabes de que virus se trata, Beatle ?



saludos



ms, 8-04-2005

[beatle]

mi antivirus (norton) totalmente actualizado no lo detectaba



Despues he encontrado por ahí que podrías ser:



Troj/Spywad-B



http://esp.sophos.com/virusinfo/analyses/trojspywadb.html

[maura63]

Pues en su log no aparecen [color=red]archivos ???.exe [/color]



Comprueba si se muestran todos los archivos y carpetas ocultos del sistema:



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.



Saludos

maura63

[msc hotline sat]

Pues confirmando lo indicado por Beatle, efectivamente el Spywad.B hace ina serie de historias, cambia el escritorio a DESKTOP e inhabilita el boton derecho del mouse, todo lo cual no se puede ver en los logs del HJT, y tras otras incidencias en el foro y en la practica con los asociados al servicio tecnico de STAINFO hemos logrado pisar el cuello a este troyano y poder restaurar las claves que injabilitan el boton derecho del mouse, además de restaurar las demás claves modificadas por el bicho.



Y todo ello lo estamos aplicando en la nueva version 6.4 del Elistara.EXE que estamos haciendo y subiremos a esta web cuando esté acabado. Probadlo e informadnos al respecto como respuesta de este Tema, gracias



Ver: https://foros.zonavirus.com/viewtopic.php?t=6182&highlight=



saludos



ms, 13-04-2005

[msc hotline sat]

Subida a esta web la version 6.4 del ELISTARA.EXE



http://www.zonavirus.com/descargas/elistara.asp



probadla e informadnos al respecto como respuesat de este Tema, gracias



saludos



ms, 13-04-2005