Duda Spyware: ADSMART

[M@RKS]

Hola foreros, estoy aquí por la recomendación expresa de un amigo, y por el agobio que llevo con un problema que tengo en el pc desde hace unas dos semanas.



A ver, tengo Win98 porque mi pc no da para el XP. resulta que pasándole el Activescan de Panda me detectó lo siguiente:



Adware:Adware/Adsmart No desinfectado C:\WINDOWS\sys???.exe



Adware:Adware/Adsmart No desinfectado C:\WINDOWS\SYSMON.EXE



Después de ello, he formateado, le he vuelto a pasar el Activescan solo con Windows instalado, y me lo sigue detectando, por lo que lo que tengo debe ser más que spyware.



Siguiendo el consejo de un amigo, he instalado el Spybot, he inmunizado, he bloqueado todo lo que he podido, pero sigo teniendo el problema en cuestión.



¿Qué me recomendais?



Muchas Gracias de antemano.

[msc hotline sat]

Arrancó en modo A PRUEBA DE FALLOS, que es eñ "modo seguro" con su sistema WIndows98 ?



Hágalo así y lance de este modo el SPYBOT u finalice con FIX PROBLEM o SOLUCIONAR PROBLEMAS si le puso el idioma castellano y tras ello reinicie normalmente y vea si ya no detecta el bicho, y nos lo comenta en todo caso, como respuesta de este Tema. gracias



saludos



ms, 4-06-2005

[M@RKS]

Hola, ante todo muchas gracias por preocuparte por mi problema. He hecho todo lo que me comentabas y este es el resultado del análisis del spybot:



¡Felicidades!: No se ha encontrado ningún robot espía.



Después de eso, le vuelvo a pasar el Activescan y me sigue detectando lo mismo.



He de añadir que, desde hoy domingo, me falla la conexion a internet con Firefox.. me la bloquea el Zone Alarm diciendome que tengo un problema de seguridad... por lo que ahora mismo navego con el Explorer.



La verdad es que ya no sé que hacer.



Gracias por todo y a ver si me podeis decir algo. Un Saludo!!

[msc hotline sat]

Es posible que este ADSMART no esté contemplado por el SPYBOT que está usando.



¿Es la version 1.4, que es la que debe usar actualmente?



http://www.zonavirus.com/descargas/spybot-sd.asp



Si lo es, y lo ha actualizado y no se lo detecte, pruebe con el AD_AWARE, siempre arrancando a prueba de fallos.



https://foros.zonavirus.com/viewtopic.php?t=7028&highlight=



Evidentemente, antes de lanzarlo, actualicelo. SI detecta el bicho, se lo podrá eliminar, pero si no lo conoce, no hará nada.



Comentenos el resultado como respuesta de este Tema. gracias



saludos



ms, 6-06-2005

[M@RKS]

Hola compañero, aquí estoy de nuevo para comentarte los resultados.



Como me has dicho, he actualizado a Spybot 1.4, he analizado desde modo prueba de fallos, me ha detectado una serie de archivos sospechosos y los he borrado. Posteriormente le he pasado el activescan y me ha seguido detectando los mismo de siempre.



Por ello, he decidido instalar ad-aware, lo he actualizado y ejecutado desde modo prueba de fallos, me ha detectado otros archivos críticos y peligrosos y los he eliminado. Luego he pasado de nuevo activescan y me ha seguido detectando los dos ficheros infectados en cuestión.



Después de ello, ya no se que puedo hacer. Muchas gracias de nuevo y espero tu consejo, si es que aún puede haber alguna solución.

[msc hotline sat]

Y lo haces arrancando en modo seguro y deshabilitando la restauracion de sistema ???



Si es así te pediremos que nos envies los ficheros en cuestion a zonavirus@satinfo.es anexados a un mail cuyo texto sea un copiar y pegar de este post para que podamos contestarte como respuesta de este Tema



saludos



ms, 7-06-2005

[M@RKS]

Hola, perdón por el retraso en la constestación, es que estoy liado con los exámenes.



Arranco en modo prueba de fallos, pero no puedo deshabilitar la restauración del sistema, puesto que mi sistema opertivo es Win'98 SE.



¿Qué ficheros quereis que os envie? ¿Os referis al reporte del activescan? Por favor, aclarádmelo, y nada más os lea os lo envio.



Gracias.

[msc hotline sat]

Efectivamente, en windows 98 era simplemente arrancar a prueba de fallos, pero recuerda que este sistema operativo es del pasado y ya está obsoleto...Tras los examenes, ve pensando en migrar a uno actual como XP o W2k.



Los ficheros que debes enviarnos si quieres que los analicemos, son los que detectas infectados y no logras acabar con ellos.



saludos



ms, 9-06-2005

[M@RKS]

Mucho me temo que con 4Gb de disco duro es difícil migrar a Win XP, y también teniendo en cuenta que mi pc es un P3 800Mhz.



Os envio en un mail el fichero [b]Sysmon[/b] lo único de lo infectado que os puedo enviar, porque el otro fichero (Sys???) no sé que es ni donde está.



Muchas Gracias por todo y espero vuestras noticias.

[msc hotline sat]

Cuando hoy estemos en la oficina estudiaremos lo qie nos hayas enviado, pero mientras, por si se tratara de que tuvieras un descargador (DOWNLOADER) o un creador (DROPPER) de troyanos, que te recrearan el ADSMART en cuestion, descarga y lanza el ELISTARA a ver si detectamos algo mas, alfuna aplicacion que haga lo indicado, y nos cuentas el resyltado:



http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 10-06-2005

[msc hotline sat]

El fichero SYSMON.EXE no contiene tecnicas de regeneracion como ultimos SDBOT que crean nuevo proceso al detener el suyo, impidiendo su eliminacion, por lo que si se regenera, o bien es por nueva infecion de la red o desde internet, o si lo hace con la máquina aislada del resto, puede ser por ser creada por otra aplicacion troyana.



Para localizar dicja aplicacion, lance eñ HiJackThis no para eliminar ninguna clave de lkas que se ven, sino para poder saber los procesos que carga y pedirle que nos envie los sospechosos de ser los causantes.



NO ELIMINE NINGUNA CLAVE DE REGISTRO EN ESTE CASO HASTA QUE LE DIGAMOS UTILIDAD A UTILIZAR, y luego, una vez eliminado con la utilidad, lanzaremos otro HJT para limpiar el resto de claves troyanas o restos de las mismas



Peguenos en un proximo post de respuesta a este, el log resultante de lanzar el HJT en este ordenador y le pediremos que nos envie los ficheros que veamos sospechosos.



_____________



hijackthis 1.99.1



http://www.spywareinfo.com/~merijn/files/hijackthis.zip



______________





saludos



ms, 10-06-2005

[msc hotline sat]

A la espera de su log, hemos visto que el fichero que nos ha enviado es casi identico al original del sistema operativo (que tiene el W98, y que ya no nos acordabamos), y que solo en dos sectores tras el byte 65000, hay valores diferentesm lo cual puede haber sido ocasionado por cualquier modificador, sea virus, troyano, utilidad o incluso parche.



Esta modificacion que se regenera, es posible que sea del propio sistema operativo, por lo que propongo sustituya dicho fichero por el de otro ordenador con W98, y vea si asi se elimina el problema.



El SYSMON es el monitor de sistema, visualizador grafico de porcentajes de uso de CPU y demás caracteristicas, y es posible que esté alteradopor alguna utilidad, por lo que vea si lo puede sustituir por uno que no le de problemas (de otra maquina o extraido del CDRPM de instalacion con el SFC.EXE) y nos cuenta el resultado



saludos



ms, 10-06-2005

[M@RKS]

Hola!! Voy por partes:



[b]1. He ejecutado Elistara y no me ha detectado ningún fichero infectado.[/b]



[b]2. Esto es lo que me aparece al ejecutar Hijack:[/b]



Logfile of HijackThis v1.99.1

Scan saved at 17:03:32, on 10/06/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\LG\SECURECELL\PLBKMON.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\RunDLL.exe

C:\WINDOWS\SYSTEM\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://foroche.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [TVWatch] C:\WINDOWS\SYSTEM\TVWatch.exe

O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab





[b]3. Voy a intentar buscar el archivo SYSMON de otro ordenador y sustituirlo por el mio.[/b]



A la espera de vuestras noticias, Un Saludo!!

[msc hotline sat]

Efectivamente, lo mejor es sobreescribir el de tu ordenador con el que copies de otro con igual sistema operativo



Y si tras ello, no se vuelve a modificar, no hagas nada mas, pero si vuelve a infectarse, vuelvelo a copiar y haz lo siguiente al respecto de las claves de registro con el HJT:



Estas clabes solo son sospechosas, Si no jas instalado dichas aplicaciones, lanza de nuevo el HJT , selecciona las que no conozcas, y eliminalas con FIX



O4 - HKLM\..\Run: [TVWatch] C:\WINDOWS\SYSTEM\TVWatch.exe

O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY



y si has eliminado la segunda clave, tras reiniciar, mueve este fichero a una carpeta de cuarentena, pero no lo borres, ya que si resulta ser el culpable, te pediremos que nos envies muestra:



C:\ARCHIVOS DE PROGRAMA\LG\SECURECELL\PLBKMON.EXE



y prueba de reiniciar a ver que pasa y nos lo cuentas.



saludos



ms, 10-06-2005

[M@RKS]

Hola compañero, te comento:



Ayer viernes se me ocurrió instalar la versión de evaluación del Panda Platinum 2005 Internet Security. Cuando se lo pasé por primera vez me detectó el ADSMART y me lo desinfectó. Posteriormente le pasé el Activescan y ya no me ha detectado nada. Lo único extraño es que casi al final del análisis se bloquea y no finaliza, por lo que me veo obligado a cerrar la aplicación con CTRL-ALT-SUPR.



Con respecto a la linea que crees sospechosa:



C:\ARCHIVOS DE PROGRAMA\LG\SECURECELL\PLBKMON.EXE



He de decirte que ese es un archivo ejecutable forma parte del controlador de una Memoria USB marca LG que tengo.



¿Crees que ya está solucionado?



Un Saludo!

[msc hotline sat]

Si puedes cerrar windows normalmente sí, sinosustituye el fichero "limpiado" por el original de otra máquina de igual version de Windows



Y nos indicas el resultado, para poder cerrar el Tema



salydos



ms, 11-06-2005