Problemas con troyano (SOLUCIONADO)

[espacio200]

Saludos a todos.

Tengo un problemilla que ya comienza a agobiarme. Pensé que sería de fácil solución como otras veces.

El caso es que desde esta mañana Internet Explorer no arranca y cuando lo hace, hay un amago de abrirse pero nada.



El McAfee dice que "El archivo C://Windows/alsgs.dll está infectado por el archivo troyano StartPage-DU.dll y se ha eliminado para completar el proceso de limpieza", pero cada vez que intento abrir el explorer mas de lo mismo. Este aviso no para de salir.

Por cierto, el Mozilla funciona correctamente.



También aparecen pop ups de los temitas calentitos de siempre y otros con avisos de seguridad acerca del peligro que tiene mi ordenador en estos momentos, con contraseñas, códigos bancarios, etc etc.



Primero he pasado el antivirus en modo normal y no encuentra na de na. Después el Ad_Aware, que encontraba algún problemilla y parecía solucionar. Y por último el Spy_Bot. Este decía que no podía eliminar un archivo ya que estaba residente en memoria.



He desactivado luego restaurar sistema. He seguido los mismos pasos desde el modo a prueba de fallos y la maquinita sigue exactamente igual.



Ahora mismo intentaba pasar el panda on line pero para mi sorpresita no me deja. No sale la ventana del escaneo sino otra con enlaces "para ayudarme".



Ojalá me podais ayudar. Me mosquea bastante el asunto.

Pensé que iba a solucionarlo facilmente y no tengo la mas remota idea.



Gracias y estaré pendiente de vuestra ayuda. :wink:

[msc hotline sat]

Arranca en modo seguro, deshabilita la restauracion de sistema y lanza el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 08-09-2005



Se recuerda el tutorial de spywares:



https://foros.zonavirus.com/viewtopic.php?t=4795

[espacio200]

Gracias por tu ayuda.

El problema sigue. :cry:

He hecho lo que me dijiste (muchas felicidades por el programa) y parecía que luego iría bien, pero sigue el mismo problema.

Seguí los pasos que me pedía, así que no creo que haya hecho algo mal.

Tampoco puedo acceder a mi correo para enviaros la muestra. :(

Cuando voy a enviaros el mail me pide la contraseña una y otra vez y no hay manera.

Ains; seguiré pendiente de vuestra ayuda.



Se me olvidaba. Ahora cuando intento abrir el explorer y McAfee me avisa del mismo troyano en el archivo "C://Windows/system32/pelja.dll"

¿Hay un zoo en mi máquina?

:(



Saludos.

[msc hotline sat]

Creo que mas de uno sí que tiene.



Aparte del ELISTARA ue es un complemento del antivirus y de los antispywares que le indicamos en el tutorial (vea la coletilla en mi anterior post) conviene que siga los pasos de dicho tutorial, es definitiva, con los SPYBOT y AD:AWARE instalados y actualizados, arrancar en modo seguro con la restauracion de sistema deshabilitada y lanzar dichas utilidades y eliminar lo que detecten, y verá como habrá mas de uno...



Tras ello, pase un antivirus ONLINE por si las moscas, y porqué no, otra vez el ELISTARA oara comprobar que no le ha entrado nada nuevo descontrolado



https://www.virustotal.com/es/



y nos cuenta el resultado como respuesta de este Tema, gracias



saludos



ms, 8-09-2005

[espacio200]

He seguido todos los pasos que me dijo y sigue el mismo problema.

No encuentro la manera de poder solucionarlo.

El Spybot encuentra más troyanos que antes, y dice limpiar todos (en breve espacio de tiempo se reproducen) excepto uno que esta en el arranque.

No pude utilizar el antivirus en linea que me recomendó ya que sólo es compatible para Explorer pero utilicé Trend Micro y no encontró nada tampoco.

En la carpeta Favoritos encontré algunas muestras de ellos; lo borraba pero volvía a reproducirse.

Ojalá puedan darme alguna idea más.

También comentar que en los procesos de Windows aparecen algunos bastante sospechosos. También desde el msconfig veo en los programas de arranque alguno que me parece un poco raro.

Sigo esperando su ayuda si puede ser. :cry:

Saludos.







:wink:

[msc hotline sat]

Bueno ya sabemos que tiene spywares y no tiene virus.



Centremonos en los antispywares, SPYBOT u AD_AWARE:



Instalelos, actualicelos y tras ello apague el ordenador, arranque en modo seguro deshabilitando la restauracion de sistema y primero lance uno y elimine lo que le detecte, y luego el otro y lo mismo, y sin apagar vuelva a lanzar el primero y apuntese lo que le detecte oara enviarnos muestras, y luego el otro y lo mismo, y nos envia los ficheros en los que lo detecte, a zonavirus@satinfo.es anexados a un mail en cuyo texto nos indique la referencia "REF ESPA200" y los analizaremos y en su caso implementaremos su eliminacion en nuestras utilidades, y le informaremos al respecto como respuesta de este Tema.



saludos



ms, 9-09-2005

[espacio200]

Hola una vez más.

He hecho lo que me comentaba anteriormente.

Después de los dos "pases" el Spybot detecta el archivo "Kjewq.dat" como infectado. El Ad_Aware no detecta nada más.



No puedo enviar un correo con esa muestra. Creo que en uno de los posts anteriores le comenté que cada vez que adjuntaba el archivo, Yahoo me pedía de nuevo la contraseña insistentemente, impidiéndome enviar el e-mail. He creado una cuenta nueva (no en yahoo) y sigue el mismo problema. Dice no detectar virus en los archivos adjuntados pero es imposible enviárselo. (Tengo las cookies admitidas)



Lo único que se me ocurre es intentar enviarles dicha muestra desde otra máquina, cosa que no puedo hacer en este momento. :cry:



¿Alguna otra opción antes de poder hacerlo?

Pensaba que sería de simple solución; no es la primera vez que tengo infectado el equipo pero esta vez me ha desbordado. :cry:



Mil gracias de nuevo.















:wink:

[espacio200]

Disculpe que le moleste de nuevo.

He conseguido enviarles las muestras desde una cuenta que he creado en Mixmail.

Saludos. :wink:

[msc hotline sat]

Recibidos tres ficheros, el EXE no sé quien se lo ha detectado, tiene posible relacion con DNA SCAN.



La DLL es una muestra solicitada por el ELISTARA 10,25 que pasamos a analizar



y el DAT no lo controla ningun antivirus, pero como que dice ser detectado por el SPYBOT, puede tener relacion con algun spyware, lo analizaremos a ver si detectamos algo



Y le informaremos como respuesta de este Tema



saludos



ms, 9-09-2005

[espacio200]

El Exe ha sido detectado por el Elistara. Me decía que lo enviase junto a la dll.

Saludos, y buen fin de semana. :wink:

[msc hotline sat]

A ver si nos puedes postear el contenido de INFOSAT.TXT del directorio raiz, para saber la deteccion de estos ficheros con el ELISTARA, porqué fue, gracias



Abre el fichero y copiar/pegar en un nuevo post



Yo me boy ya, pero mis compañeros siguen...



saludos y buen fin de semana



ms, 9-09-2005

[espacio200]

Aquí lo copio.



Fri Sep 09 11:41:50 2005

EliStartPage v10.25 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\FileZilla\uninstall.exe -->



AutoExtraible

C:\Archivos de programa\Google\Gmail



Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Microsoft ActiveSync\HP Image



Transfer\Uninst.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\FileZilla_2_2_12c_setup.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\emule\eMule0.46a_Installer.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas Descargados\m2setup\M2Setup.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\winamp\winamp5092_full_hawthorne_emusic-7plus.



exe --> AutoExtraible



Saludos.

:wink:

[msc hotline sat]

No concuerda este infosat.txt con los ficheros DLL y EXE que nos enviaste. puede que se borrar el previo o que sea de otra máquina pero el caso es que la DLL es un HOME SEARCH ASSISTANT y el EXE es un Downloader, lo cual ha servido para poder conocer dos nuevos bichos no conocidos hasta la fecha, que ya han sido reportados a McAfee para su inclusion en proximos DAT.



Por nuestra parte hoy haremos una nueva version del ELISTARA que ya incluiremos la deteccion por cadenas de estas dos nuevas variantes viricas



Notificaremos cuando subamos a esta web la nueva version 10.27de ELISTARA.EXE



saludos



ms, 12-09-2005

[espacio200]

Si no recuerdo mal, el otro día sólo me decía que os enviase un ejecutable. Ahora son dos. :cry:



Os voy a enviar lo que me dice y también os copio el infosat.txt resultante. ¿Ok?





Mon Sep 12 10:18:41 2005

EliStartPage v10.25 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\FileZilla\uninstall.exe -->



AutoExtraible

C:\Archivos de programa\Google\Gmail



Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Microsoft ActiveSync\HP Image



Transfer\Uninst.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\FileZilla_2_2_12c_setup.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\emule\eMule0.46a_Installer.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas Descargados\m2setup\M2Setup.exe -->



AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis



documentos\Programas



Descargados\winamp\winamp5092_full_hawthorne_emusic-7plus.



exe --> AutoExtraible



Saludos.







:wink:

[msc hotline sat]

Claro, en cada nieva version pedimos muestra de nuevas historias...



Por cierto, estamos ya compilando la nueva version del ELISTARA 10.27, y la subimos a continuacion, en diez minutos. Bajala y pruebala y nos dces algo, gracias



saludos



ms, 12-09-2005

[espacio200]

Te cuento. :cry:



He probado y parecía ir bien.

Dice "Eliminado Troyano Search Aid o HSA"



Y este es el Infosat.txt





Mon Sep 12 11:32:58 2005

EliStartPage v10.27 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\FileZilla\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Microsoft ActiveSync\HP Image Transfer\Uninst.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis documentos\Programas Descargados\FileZilla_2_2_12c_setup.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis documentos\Programas Descargados\emule\eMule0.46a_Installer.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis documentos\Programas Descargados\m2setup\M2Setup.exe --> AutoExtraible

C:\Documents and Settings\LLF.ASUS\Mis documentos\Programas Descargados\winamp\winamp5092_full_hawthorne_emusic-7plus.exe --> AutoExtraible

C:\WINDOWS2\addzx32.exe --> Eliminado, DownLoader.F

C:\WINDOWS2\ipiv.dll --> Eliminado, SearchAid o HSA (BHO)

C:\WINDOWS2\sdkne.dll --> Eliminado, SearchAid o HSA (BHO)

C:\WINDOWS2\system32\addeh.exe --> Eliminado, DownLoader.F

C:\WINDOWS2\system32\appwv32.exe --> Eliminado, DownLoader.F

C:\WINDOWS2\system32\atlpv32.dll --> Eliminado, SearchAid o HSA (BHO)

C:\WINDOWS2\system32\javapg32.dll --> Eliminado, SearchAid o HSA (BHO)

C:\WINDOWS2\system32\msgo32.exe --> Eliminado, DownLoader.F

C:\WINDOWS2\system32\sdkpg32.exe --> Eliminado, DownLoader.F



Cuando abro el explorer avisa de un troyano, como antes vaya, y se sigue cerrando.



Voy a probar de nuevo con el Spybot y el Ad_Aware.

A ver si lo podemos solucionar, pero mil gracias por la ayuda, ¿eh?. :wink:

[espacio200]

El Spybot sigue encontrando entradas que dice eliminar pero el problema sigue.

:cry:

Vaya follón.

[msc hotline sat]

Como sea que los HSA o Home Search Assistant puden estar como aplicaciones instaladas en Panel de Control -> Agregar Quitar programas, mira si tienes allí alguna aplicacion que no conozcas, y en su caso, eliminala.



Y por supuesto que lo que de detecte el Spybot, si lo lanzas en modo seguro, te lo tiene que poder eliminar, y volviendolo a ejecutar no debe aparecer mas, pero otra cosa es que si se reinicis, o simplemente cerrando el Internet explorer y volviendo a abrirlo, se pueden regenerar si hubiera un dropper en el arranque o una clave accediendo a Internet donde ejecutar algo o bajarselo de dicho site.



Pero a la vista del HJT, y eliminadas las claves indicadas ya no hay nada que se cargue ni en inicio ni en BHO , cuando arranca el I.E.



Así que estamos ya al final de la calle...



saludos



ms,. 12-09-2005

[espacio200]

:D :D :D ¡¡¡¡¡MIL GRACIASSSSSS!!!!!



En vez de apagar el ordenador al salir de modo seguro reiniciaba.

De nuevo aparecían los troyanos, he pasado el Spybot y luego el ElistarA y en principio parece estar limpio.

El Explorer ya arranca sin problemas y con la web que yo le pido.



Mil gracias, de veras. :wink:

¿Tal vez os puedo enviar unos pasteles?

:D



PD; deberíais poner un emoticon aplaudiendo. Lo mereceis con creces.

[url=http://www.imagenesup.com][img]http://www.imagenesup.com/temporal/113/bravo.gif[/img][/url]



Espero que el problema se haya solucionado del todo y no volver a molestaros.

Un abrazo.

[msc hotline sat]

Ha siso un placer ayudarte



Y además hemos vencido !!! [url=http://www.imagenesup.com][img]http://www.imagenesup.com/temporal/65/bien.gif[/img][/url]



Ya solucionado el Tema, procedemos a cerrarlo.



saludos.



ms, 12-09-2005



[url=http://www.imagenesup.com][img]http://www.imagenesup.com/temporal/199/adiod.gif[/img][/url]





NOTA: Será por emoticons !!!