Virus Bck/Assasin.R

[siri]

Hola. He pasado el Panda Online y me ha detectado ese bicho, el [b]Bck/Assasin.R[/b] , que la verdad, con ese nombre asusta. No tengo ni idea de por dónde ha podido entrar porque suelo tener bastante cuidado. En algunos ficheros lo desinfecta, pero en otros no. ¿Pueden deberse a esto los reinicios por sorpresa y los bloqueos que hace mi ordenador ultimamente? Os pego el informe del Panda y el log del Hijackthis, a ver si me podeis ayudar. Gracias.





Logfile of HijackThis v1.99.1

Scan saved at 5:09:58, on 27/04/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\System32\carpserv.exe

F:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

F:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

F:\Archivos de programa\eMule\emule.exe

F:\Archivos de programa\Emule 2\emule 2 (45b).exe

F:\Archivos de programa\Internet Explorer\iexplore.exe

F:\Archivos de programa\Despertadores\Citrus Alarm Clock\citrusac.exe

F:\Archivos de programa\Internet Explorer\iexplore.exe

F:\Archivos de programa\Hijackthis 1.99.0.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F0 - system.ini: Shell=Explorer.exe F:\windows\system32\qpsrv.exe

F1 - win.ini: run=F:\windows\system32\qpsrv.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [TkBellExe] "F:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = F:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094928232222

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDC4C03-B274-4824-B730-AD6679BC586A}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe







Informe de Panda Online



Incidencia Estado Elemento



Adware:Adware/WebHancer No desinfectado Registro de Windows

Virus:Bck/Assasin.R Desinfectado C:\antispys-antivirus y similares\2_Panda.Titanium.AntiVirus.2004.v3.00.00+serial+Crack+BY+DJcg.rar[Panda.Titanium.Antivirus.2004.v3.00.00.Crack.zip][Panda.AntiVirus.Titanium.2004.v3.0_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\antispys-antivirus y similares\Panda Antivirus Titanium 2004.Español+Crack.rar[Panda.AntiVirus.Titanium.2004.v3.0_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\antispys-antivirus y similares\Panda.AntiVirus.Titanium.2004.v3.0_crack.rar[Panda.AntiVirus.Titanium.2004.v3.0_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\antispys-antivirus y similares\Panda.Titanium.AntiVirus.2004.v3.00.00.Retail-&-Panda Platinum Internet Security v8.00.00.rar[Panda_Platinum_Internet_Security_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\Conversores música\dBpowerAMP Music Converter v.10 + (Full Codecs-Powerpack & Crack) by Freddyx.rar[Powerpack_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\Conversores música\dBpowerAMP.MC.v.9 PowerPack.Registrado Codecs(mp3,mp3pro,ape,mpc,ra,aiff,wma,wav,ogg.vorbis)_By_romeroan.[www.elbuscaelinks.com].rar[Powerpack_crack.exe]

Virus:Bck/Assasin.R No desinfectado C:\Edicion de Imagenes\Arcsoft Photostudio v5.5 Crack.rar[Patch.exe]

Adware:Adware/SuperSpider No desinfectado F:\Archivos de programa\eMule\temp\150.part[Jasc Paintshop Pro 9.0 KEYGEN by TLS.exe]

¿Si elimino manualmente cada entrada desaparecerá el virus?



Ah, otra cosa ya que pregunto. Los Adware [b]WebHancer[/b] y [b]SuperSpider[/b] que me detecta el Panda on line no me los detecta ningun otro antiespía (Adaware, Spybot, SpywareBlaster). ¿Qué hago con eso?



Bueno, muchas preguntas. Espero que me ayudeis a solucionarlo.



Gracias de nuevo.

[msc hotline sat]

Le faltan parches en su equipo. Lance el windowsupdate



Debe actualizar sus antispywares. Actualicelos, arranque en modo seguro, deshabilite la restauracion de sistema y lancelos de nuevo, y elimine lo que detecta.



Sobre el virus Assasin.R posiblemente sea una detecion de algo referente a crack.exe que parece ser una herramienta pirata. Vea la informacion de Panda al respecto:



http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=70945



y si no puede eliminarlo arrancando en modo seguro y deshabilitando la restauracion de sistema, mejor desinstale los programas que le indiquen conetenerlo e instale programas originales sin cracks que puedan contener keyloggers.



saludos



ms, 27-04-2005

[siri]

Gracias, he podido borrar a mano lo archivos en los que se había instalado.

Respecto a los antiespías, los actualizo continuamente y siguen sin detectar ese WebHancer y el SuperSpider que me detecta el Panda on line.

Y en cuanto a las actualizaciones de Windows, lo tengo programado para que se actualice automáticamente, pero hace tiempo que se ha quedado atascado en una actualizacion que no consigue instalar y de ahí no hemos avanzado.

[maura63]

Sobre esta entrada



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



Consulta link





http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=ADW%5FFLASHGET%2EA





Saludos

maura63

[msc hotline sat]

Y para eliminacion de webhancer vea:



http://securityresponse.symantec.com/avcenter/venc/data/spyware.webhancer.html



y del SuperSpider, alias Krepper o Bookmarker:



http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.i.html



En dichas descripciones indican como eliminarlo manualmente, ya que doces que las utilidades antispyware no los detectan.



Y sobre que se traba la actualizacion del windowsupdate en tu XP, ¿Tienes registrado el producto con Microsoft? Es que desde el ppdo mes de febrero, las actualizaciones solo pueden ser descargadas desde sistemas registrados.



saludos



ms, 27-04-2005

[siri]

Gracias Maura, he borrado esa entrada por si acaso.



En cuanto al Webhancer y el SuperSpider, no hay manera. No me lo detecta ningún antiespía (siempre los actualizo antes de pasarlos) más que el Panda on line, y he revisado las instrucciones de los enlaces que me dais pero las supuestas entradas modificadas del registro tampoco aparecen. ¿Puede ser una falsa detección del Panda?

[msc hotline sat]

El Panda y demás antivirus sin antispyware no son para eliminar spywares. Solo con McAfee ENTERPRISE con el modulo podrías lograrlo.



Por nuestra parte hemos ptenciado la utilidad ELISTARA con las descripciones arriba indicadas, prueba la version 6.7 de hoy:



http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 27-04-2005

[maura63]

Has comprobado que se muestren archivos y carpetas ocultos del sistema :?:



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.



Tras ello vuelve a comprobar



Saludos

maura63

[siri]

Bueno, ElistarA ha eliminado una cosa llamada ear.exe-->IE Driver dr y después de eso he podido borrar el fichero que contenía el SuperSpider. Pero el WebHancer ahí sigue. Según las instrucciones del enlace de symantec que me habeis proporcionado debo borrar en Panel de Control, Agregar o Quitar Programas, un programa llamado WebHancer Customer Companion que no aparece en mi lista de programas. :?: :?: :?: Con todos los archivos a la vista, esa cosa no aparece.

[msc hotline sat]

Posiblemente lo que detecte el panda no sea la misma variante que la descripcion de Symantec.



Enviando una muestra del fichero en el que Panda encuentra dicho adware, e indicanos la ruta donde lo has encontrado, y potenciaremos el ELISTARA.EXE para que lo controle y elimine tambien.



Envianos la muestra anexada a un mail dirigido a zonavirus@satinfo.es cuyo texto sea un copiar y pegar de este post y te contestaremos como respuesta de este Tema



saludos



ms, 28-04-2005

[msc hotline sat]

Si no sabes el fichero que es, mira si en tu directorio de sistema (F:\windows\system32) tienes el fichero qpsrv.exe , y envianoslo



Es que desconocemos la aplicacion qpsrv.exe, y no hay docunebtacion sobre ella, lo cual es sospechoso.



Si no tienes este fichero, entonces estas dos claves deberían restaurarse (NO ELIMINAR; OJO !!!) bueno, la del win.ini sí, pero la del system.ini no, al deber respetar la clave hasta el Explorer.exe. Para ello ya haríamos la utilidad de eliminacion:



F0 - system.ini: Shell=Explorer.exe F:\windows\system32\qpsrv.exe

F1 - win.ini: run=F:\windows\system32\qpsrv.exe



Es posible que Panda te detecte y no pueda corregirte estas dos claves, y de aqui salga la alarma, que sin el fichero no sería mas que una falsa alarma, pero mira si lo encuentras y nos lo envías, por si fuera algo que tuvieras instalado, y ya te indicaríamos como proceder, pero al no dar ERROR la clave de ejecucion del Shell del Explorer, lo mas lógico es que tengas dicho fichero, y tras analizarlo te diremos como proceder.



saludos



ms, 28-04-2005

[siri]

A punto de tirar el ordenador por la ventana. Imposible, es un fantasma. No puedo daros la ruta porque segun el Panda está en el registro de windows, sin más. Y el fichero qpsrv.exe no aparece, salvo efectivamente dentro de las carpetas win.ini y system.ini. Me pregunto si simplemente borrando la linea con el comando correspondiente en esas carpetas se solucionaria, aunque dudo de que sea tan sencillo.



Le acabo de pasar el Panda on line a la carpeta system32 y no detecta nada.



Por cierto, debo pediros perdón porque ya sé que este no es el foro de spyware, pero todo este lío empezó con un virus que desapareció mucho más rápido que este otro intruso.

[msc hotline sat]

Es que no es ni spyware !!! supongo que son restos en el registro, que restaurando dichas claves, se solucionará el problema.



Cisto que no existe el fichero qpsrv.exe, la siguiente linea, la marcas en el HJT y le das FIX:



F1 - win.ini: run=F:\windows\system32\qpsrv.exe





tras ello, lanza de nuevo el antivirus, a ver si ya no detecta nada.



Y si lo detecta se deberña restaurar la otra, pero no eliminar totalmente la clave, sino solo quitarle la cola, o sea, en:



F0 - system.ini: Shell=Explorer.exe F:\windows\system32\qpsrv.exe





dejarla terminando en Explorer.exe, sin lo demás, que es la llamada al fichero.



Ello es muy facil metiendose en el registro, pero muy peligroso, por lo que si no estas acostumbrado, lo haremos con un REG , pero primero dinos si tras borrar la primera aun detecta virus o ya no.



saludos



ms, 29-04-2005

[siri]

Pues sí, borrando esa entrada todavía detecta el WebHancer.

[msc hotline sat]

Pues si sabes usar el REGEDIT, de la segunda clave borra: F:\windows\system32\qpsrv.exe



dejando



F0 - system.ini: Shell=Explorer.exe



si no sabes, dinoslo y te prepararemos un REGEDIT4



Y luego nos dirás si ya no te detecta lo del registro-



saludos



ms, 2-05-2005