Solucionar troyano Spy-Agent.i (SOLUCIONADO)

[Baal]

Saludos al foro.



Soy nuevo en los foros de zonavirus. Antes de decidirme a postear sobre este caso he buscado dentro de los foros y no hallé la solución.



El problema es el siguiente:

Hace unos días en medio de la navegación normal, caí en una web warez e inmediatamente mi McAfee llenó la pantalla de avisos sobre virus y alimañas que venían como un ejército. Me calmé y me desconecté, luego borré (Delete) cada una de las entradas en los múltiples cuadritos de McAfee. Desde ese día y de manera aleatoria me sale una advertencia de McAfee sobre el [b]Spy-Agent.i[/b], que parece estar vinculado al fichero [b]ntdll.dll[/b] del sistema, pues es normal que después del aviso del antivirus, el IExplorer se cierre con el avisito de que "se ha encontrado un error..." y el módulo vinculado al error es ntdll.dll.



También me sale una advertencia de seguridad del "centro de seguridad de windows" diciendo que el pc está en riesgo y que siga algunas instrucciones. No lo he hecho porque mi sistema está en español y el aviso sale en inglés (me parece sospechoso), al cerrar ese globito me sale una advertencia (cuadro con X roja) que dice que hay actividad espia intentando robar información de mi pc (lo cierro sin más porque tembien está en inglés) e inmediatamente el firewall me avisa que "hh.exe" quiere conectarse a internet... también lo niego y ahí para todo...(?)



La pregunta es: McAfee lo clasifica como troyano y está actualizado, por qué no lo elimina de una vez? o existe otro problema subyacente?



bien me disculpan la extensión del post pero quiero ser explícito para poder hallar una solución precisa.



Saludos,



Baal.

[ENDROGAO]

Saludos.



Empezemos por partes. Si tienes windowa xp vas a inicio y despues a mi pc, sobre mi pc clicas boton derecho y en propiedades picas sobre la lengueta restaurar sistema. Desactiva la casilla que dice desactivar restaurar sistema en todas las unidades y reinicias en modo seguro. picando varias veces la tecla F8. Ahora le pasas el antivirus y ya podras eliminarlo sin problemas, y ya de paso le pasas tambien el ad- aware y spybot tambien en modo seguro y asi dejaras el pc limpio de bichos.



saludos y ya contaras como te a ido.

[Baal]

Gracias por la sugerencia, ENDROGAO, pero creo que necesito algo más específico y seguro, no respuestas genéricas, verás, no soy precisamente novato en estas luchas.



Ya he superado todo lo referente al modo seguro con el sistema, es decir, tengo [b]McAfee 7.03 pro actualizado, Ad-aware SE 1.06 actualizado, Spybot S&D actualizado, Uso zone Alarm 4.5, The Cleaner 4.1 actualizado, Trojan remover 6.4.2 actualizado. además me defiendo con bastante suficiencia al trastear con el registro; por otro lado tengo el CCtask [/b](que aunque es un programa viejo y se supone que no trabaja en XP, si lo hace y bien que lo hace mostrando todos los procesos activos y los subprocesos que dependen de ellos).



Las últimas "contrataciones" fueron [b]ElistarA y HijackThis v1.99.1,[/b] además del parche [b]WindowsXP-KB896358-x86-ESN.exe[/b] (para reparar una vulnerabilidad de hh.exe)



Todo ese arsenal lo he disparado desde todos los flancos, en todas las modalidades de modo seguro y por supuesto sobre el sistema en modo normal.



soy tecnólogo en sistemas informáticos, tengo un taller de reparación desde hace casi 10 años...



Por favor ayúdame de otra forma que ni manualemente he podido encontrar y menos erradicar el joio troyano. nada más escribiendo este post me ha salido tres veces el avisito (similar al globito que pone el servidor de seguridad del sistema en la bandeja de tareas... el troyano se relaciona con un archivo etéreo llamado RDSNDIN.EXE y digo que etéreo porque jamás lo he hallado, McAfee lo detecta y avisa pero no puede borrarlo porque no se encuentra en ningún lado... También averugüé que el troyano es del bando de los key-loggers y naturalmente eso me asusta.



También intenta aprovecharse de la utilidad de conguracíón IP (ipconfig.exe) y del HTML para conectarse aparte de hh.exe, pero claro el firewall lo detiene siempre.



Bueno, como lo dije, necesito otras opciones, amigo. dime que puedes echarme el cable, sí?



Saludos.



Baal.

[msc hotline sat]

Lástima que estemos de vacaciones en SATINFO, pues sino, enviandonos las muestras del HH.exe y de la librería ntdll.dll, implementariamos su control y eliminacion en el ELISTARA, y a pesar de ello, mira de enviarnos dichas muestras a zonavirus@satinfo.es anexadas a un mail cuyo texto indique REF SPY-AGENT.I y lo implementaremos en una proxima version de ELISTARA, cuando volvamos vacaciones.



Ahora, solo puedo analizar el HJT que reportes y darte indicaciones al respecto, para tratar de complementar tus conocimientos, que en el terreno de malwares nuevos desconocidos, todos necesitamos ayuda.



Por ello lo primero es que nos copies el log del HJT, como respuesta de este Tema u del otro fichero "etereo" posiblemente ni lo tengas en el ordenador, sino que se trate de uno que quiere ejecutar remotamente o descargarlo de internet, lo cual impide tu antivirus o tu firewall.



A la vista del log, seguiremos informando



saludos



ms, 8-08-2005

[ENDROGAO]

Saludos de nuevo.



Como bien ha dicho msc, intenta reportar este archivo y ellos daran con una cura rapida. Tambien podrias pasar algun que otro antivirus on-line y a ver si tienes suerte y te lo borra. 2 opcion, podrias probar con otro antivirus, hay una version trial de kaspersky de unos 30 dias habiles, es un antivirus muy potente y casi no se le escapa nada por no decir nada y con los troyanos tiene mano dura.



espero que tengas suerte, ya nos contaras como te ha ido.

[msc hotline sat]

El problema es que esto no es un virus, sino mas bien un spyware, de hay su nombre spy-agent y los antivirus, si no tienen el modulo antispyware, como puede equipar MCAgee Enterprise 7.1 u 8 (no la version que dice que usa), no eliminan spywares, sino solo virus, y dejan los spywares a los antiuspywares, como el SPYBOT o AD_AWARE, asi como estos no eliminan los virus, sino solo los troyanos de este tipo.



Ello se soluciona con dichas utilidades, segun puede verse en



http://www.commentcamarche.net/forum/affich-1651401-TROJAN-agent-am-1-Click-526-Drop32-Smal-U



por lo que pueden seguir las indicaciones de dicho link. o postearnos el HJT solicitado y seguir las indicaciones del tutorial de antispywares eliminando lo detectado con las versiones actualizadas del SPYBOT Y AD_AWARE



Y en su momento, si nos envian las muestras solicitadas, incluiremos su eliminacion automatica en el ELISTARA. mucho mas comodo como ya saben los que lo han usado alguna vez



saludos



ms, 8-08-2005

[Baal]

Asunto resuelto!



Naturalmente antes se desactivó restaurar sistema...



Apagué el pc. Al reencender, puse modo seguro y en modo seguro corrí el ElistarA. Luego al The Cleaner le activé l TCmonitor y el TCActive porque el monitor podría decirme en un momento determinado si ocurría algún cambio raro en el registro. Abrí el Msconfig y desmarqué las entradas:

[b]hclean32.exe=C:\Windows\System32\hclean32.exe

yaemu.exe=C:\Windows\System32\yaemu.exe

dmceu.exe=C:\Windows\System32\dmceu.exe[/b]



Pero ojo, [u]no reinicié[/u], abrí el total commander (para visualizar y localizar rápido cualquier cosa) y localicé esos archivos en le ruta que daba el msconfig pero no se dejaban borrar, entonces Ctrl+Alt+Del para sacar el Administrador de tareas y en los procesos vi activo el IExplore entonces finalicé el proceso. Despues sí se dejaron borrar los dos primeros archivos (el dmceu.exe no se dejaba. A la vez le di a escanear el disco c: con The Cleaner y al mismo tiempo con el antivirus.



Sucedieron dos cosas, una que por fin apareció el famoso RDSNDIN.EXE (que no se dejaba ver) y pude eliminarlo con el antivirus, tamaño 4.608 bytes. La segunda cosa no fue tan amable, el archivo dmceu.exe volvía a meterse en el inicio y por más que lo sacara al minuto se metía de nuevo. Me relajé y dejé actuar al The Cleaner y al McAfee. Esa tarea tardó casi 6 horas (!!).



Terminado todo eso reinicié de nuevo en modo seguro y al revisar encontré de nuevo al dmceu.exe dentro del grupo de inicio (HKLM/software/microsoft/windows/current version/run...) en tonces lo eliminé por el registro.



Revisé con el total commander y vi un archivito pequeño y raro: [b]csunr.exe[/b], lo borré e inmediatamente reinicié en modo seguro como siempre. Como aun el dmceu no se dejaba quitar del grupo de inicio, entonces al no encontrar más a sus compañeros, reinicié por cd-rom con el ultimate boot cd y usando el Volkov Commander navegué hasta el dmceu.exe y lo borré.



Luego de toda esa faena reinicié en modo normal y... ¡voila! noquedaba rastro del bicho.



Reconozco que en mucho tiempo ningún animaléjo me había

dado tanto trabajo. También reconozco que la faena fue poco ortodoxa, :shock: pero con paciencia salí del embrollo. Lo otro es decir que antes de embarcarse en esta labor hay que poder ver los archivos ocultos y de sistema.



Lo de nviaros el hh.exe y ntdll.dll no se que tan acertado sea, pues ya paplique una actualización de windows precisamente para corregir una vulnerabilidad en hh.exe. También tengo una muestra de los otros archivos que menciono en el post. Servirían esos??



Saludos.



Baal

[msc hotline sat]

No, los que convienen, para que lo sepas para otra vez, son todos estos ficheros que borraste, para ver las cadenas de deteccion y con ellas eliminar los ficheros que las contengan, esten ocultos o no, y si estan en uso, detenemos el proceso, y todo ello lo implementamos en la utilidad correspondiente, en este caso hubiera sido el ELISTARA, para facilitar su eliminacion en casos futuros, pero si ya los has eliminado, ya nos los enviaran otros usuarios. Otra vez será



Y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 9-08-2005

[msc hotline sat]

Añado las imagenes facilitadas posteriormente por Baal, a título de informacion sobre los falsos avisos del troyano:


[quote="Baal"]


[img]http://www.lauramonsalve.org/otrasimages/avisotroyano1.jpg[/img]

http://www.lauramonsalve.org/otrasimages/avisotroyano1.jpg



[img]http://www.lauramonsalve.org/otrasimages/avisotroyano2.jpg[/img]

http://www.lauramonsalve.org/otrasimages/avisotroyano2.jpg



Esos son los falsos avisos de alerta generados por el bicho.



Un saludo desde Medellín, Colombia.



Baal


[/quote]

saludos



ms, 12-08-2005