Ventanas emergentes...no se soluciona kon nada (SOLUCIONADO)

ijfa · Mensaje por **ijfa** » 24 Oct 2005, 00:12

Hola....buskando info me enkontre kon esta pagina y me decidi a preguntar...ojala me ayuden......me infecte kon algo luego de buskar un crack....el ad-aware enkontro varios archivos, claves y kosas varias infectadas...las elimino...luego pase el sacn spyware.........lo mismo, pero al rato despues aparecen de nuevo estas ventanas.......hago lo mismo........y enkuentra de nuevo.....luego de varias pasadas no enkuentran nada ninguno de los 2........pero el problema sigue.....estoy hasta las masas kon esto..........a kada rato se abre publicidad que no es pornografika pero molesta.......se abren varias paginas de este tipo: http://www.-----.com/normal/yyy34.html otra tb es de http://www.searc-h.com/normal/yyy53.html por ejemplo.....

aki va mi log de hijackthis.........de antemano gracias.

Logfile of HijackThis v1.99.1

Scan saved at 19:02:04, on 23-10-2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\U2hhc2NvbgAA\command.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Shascon\Mis documentos\Mis archivos recibidos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117171015921

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O20 - Winlogon Notify: Run - C:\WINDOWS\system32\irnml5511.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2hhc2NvbgAA\command.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

se me olvidaba ,....tb use el spybot pero no enkontro nada.-

:?:

Mensaje por **msc hotline sat** » 24 Oct 2005, 04:17

Tiene un fichero de nombre COMMAND.EXE propio del virus BUDDY:

http://www.processlibrary.com/directory/files/command/

pero es raro que su antivirus NORTON no lo haya detectado, por lo que puede tratarse de una nueva variante, que conviene examinar y pasar a controlarla, por lo que le pedimos que nos envie copia del fichero indicado, como indicamos al final.

Primero lance el HJT y seleccione y elimine con FIX estas claves:

R3 - Default URLSearchHook is missing

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2hhc2NvbgAA\command.exe

Luego reinicie, desactive su antivirus y envienos el fichero COMMAND.EXE anexado a un mail dirigido a zonavirus@satinfo.es en cuyo texto indique referencia "REF BUDDY" y le informaremos como respuesta de este Tema, aparte de pasar a controlarlo si se tratara de una nueva variante desconocida.

Si tiene algun problema al respecto, informenos como respuesta de este Tema, gracias

saludos

ms, 24-10-2005

ijfa · Mensaje por **ijfa** » 24 Oct 2005, 16:11

Disculpa la pregunta, a lo mejor es un poco tonta, pero te envio el log, o el archivo?... :lol: gracias por la ayuda despues digo komo me fue.

Mensaje por **msc hotline sat** » 24 Oct 2005, 16:19

El log ya lo tenemos. Lo que nops hace falta es el fichero, para analizar su contenido y obrar en consecuencia.

saludos

ms, 24-10-2005

Mensaje por **msc hotline sat** » 24 Oct 2005, 17:34

Recibido el fichero COMMAND.EXE

No es detectado por la mayoría de antivirus y si lo detectan lo hacen como adaware, no virus, por lo que añadiremos su eliminacion en el proximo ELISTARA que estamos haciendo y avisaremos cuando lo terminemos y lo subamos a esta web.

Pasamos además nota a McAfee para que incluyan su deteccion en los proximos DAT y se pueda eliminar con su antispyware.

saludos

ms, 24-10-2005

ijfa · Mensaje por **ijfa** » 24 Oct 2005, 18:40

vale.......pero hice lo ke me dijiste, y ya no emergen las ventanas de publicidad ni la publicidad flash.Pero al abrir el navegador cada cierto tiempo se kambia de pagina.......si no lo abro no paasa nada .......y la otra konsulta es komo puedo eliminar ese command.exe??

gracias...... :lol:

Mensaje por **msc hotline sat** » 24 Oct 2005, 18:50

Está ya en proceso de implementacion su control y eliminacion en el proximo ELISTARA, pero da tiempo al tiempo...

En la version que subiremos mañama a esta web ya estará solucionado.

saludos

ms, 24-10-2005

Mensaje por **msc hotline sat** » 25 Oct 2005, 10:29

Mientras estamos acabando la version del ELISTARA que controlará éste y el ST3.DLL y otras muestras recibidas, amexamos el EXTRA.DAT que hemos recibido de McAfee con el que se controlam las nuevas muestras que les hemos enviado, incluida esta:

_____________________________________

237 178 133 180 93 179 221 225 68 119 184 51 15 115 141 32

10 51 221 51 77 51 192 233 214 50 187 150 242 55 7 177

12 51 85 183 13 51 59 179 242 55 7 177 56 18 85 183

13 51 39 179 242 55 7 177 226 29 85 183 13 51 19 179

242 55 7 177 253 29 85 183 13 51 31 179 242 55 7 177

254 29 85 183 13 51 11 179 242 55 7 177 249 29 85 183

13 51 247 179 242 55 7 177 241 29 85 183 13 51 227 179

242 55 7 177 240 29 85 183 13 51 239 179 242 55 7 177

134 13 85 183 13 51 219 179 242 55 7 177 129 13 85 183

13 51 199 179 242 55 7 177 128 13 85 183 13 51 179 179

242 55 7 177 163 12 85 183 13 51 191 179 242 55 7 177

160 12 85 183 13 51 171 179 242 55 7 177 189 12 85 183

13 51 151 179 242 55 7 177 162 12 85 183 13 51 131 179

242 55 7 177 217 1 85 183 13 51 143 179 51 176 143 178

13 232 140 133 0 177 136 179 242 204 140 179 25 52

17990 256 13158 521 PRID5

502 178 128 179 77 179 218 128 63 28 222 210 123 82 234 214

141 49 205 179 158 52 133 243 141 115 141 238 62 160 138 187

77 179 205 179 121 191 30 180 5 115 13 243 13 139 237 32

10 59 205 51 77 51 6 246 242 50 249 3 15 20 138 86

6 187 21 54 251 247 94 119 207 243 8 38 189 49 229 184

232 56 5 43 136 197 73 96 201 241 77 54 152 204 137 34

15 50 140 48 15 51 159 76 16 166 150 76 15 49 141 186

32 14 173 224 108 69 236 212 104 63 248 195 105 29 228 221

100 51 226 195 104 93 128 49 6 53 234 214 99 115 192 254

13 51 140 179 25 204 140 222 67 204 115 19 241 50 140 179

12 50 140 179 13 127 143 179 119 51 182 179 94 124 203 231

90 114 223 246 81 126 228 208 127 92 254 220 107 71 209 228

100 93 233 220 122 64 209 240 120 65 255 214 99 71 219 214

127 64 228 220 99 111 200 203 125 95 226 193 104 65 209 224

94 82 251 210 106 86 141 136 13 96 226 213 121 68 236 193

104 111 192 218 110 65 226 192 98 85 249 239 90 90 227 215

98 68 254 239 78 70 255 193 104 93 249 229 104 65 254 218

98 93 209 246 117 67 225 220 127 86 255 239 94 96 236 197

108 84 232 179 73 51 141 179 13 112 219 179 127 51 242 178

13 50 168 50 114 50 141 178 40 178 242 176 13 50 168 50

114 49 141 178 40 178 242 183 13 50 168 50 114 49 141 50

114 50 141 50 114 51 141 50 114 48 141 178 40 178 242 179

13 50 168 50 114 54 141 178 40 178 242 177 13 50 168 50

114 49 141 178 42 178 242 178 13 50 168 50 114 51 141 50

114 50 141 50 114 51 141 184 12 51 141 51 58 50 141 175

31 51 255 184 15 51 141 51 58 204 132 19 10 51 141 175

31 51 255 50 114 204 199 24 69 49 187 224 66 117 217 228

76 97 200 239 64 90 238 193 98 64 226 213 121 111 218 218

99 87 226 196 126 19 195 231 81 112 248 193 127 86 227 199

91 86 255 192 100 92 227 239 90 90 227 223 98 84 226 221

13 50 141 190 72 75 253 223 98 65 232 193 35 86 245 214

13 254 143 180 13 125 138

40299 256 13158 521 W32/Savage

146 178 158 185 77 179 202 214 99 86 255 218 110 19 204 215

122 82 255 214 35 82 13 177 77 51 168 105 12 5 114 178

124 13 136 103 5 51 141 179 13 51 141 163 13 204 140 199

242 32 1 162 13 99 203 84 170 23 92 34 100 188 88 200

13 232 246 170 203 204 158 63 28 51 14 17 244 101 189 120

96 153 174 142 160 52 89 162 74 85 114 160 129 34 141 188

128 216 215 228 213 2 134 158 115 202 134 55 69 60 158 76

30 191 156 179 51 31 174 254 211 66 145 212 89 193 82 42

66 128 65 39 0 177 136 179 13 51 140 179 25 254 143 180

13 125 138

12994 256 13158 521 Generic Adware.a

_____________________________________

pasandolo a detectar como W32/Savage

Los usuarios de McAfee pueden controlarlo seleccionando el script entre lineas. copiandolo y pegamdolo en el bloc de notas y salvandolo como EXTRA.DAT, el cual copiar a la carpeta del antivirus, con los demás ficheros .DAT

Esta mañana está previsto tener compilada la nueva version y ya informaremos cuando la hatamos subido a esta web, para pruebas del foro.

saludos

ms, 25-10-2005

Mensaje por **msc hotline sat** » 25 Oct 2005, 16:01

Subida al foro la version 10.48 del ELISTARA.EXE que controla este nuevo adware que pasamos a identificar como COMMAD

---v10.48-(25 de Octubre del 2005) (Muestras de SearchAid o HSA, (3)DownLoader.F, BackDoor-CSL, DownLoader.DS "MSSYS.EXE", (3)Savage, (2)CommAd y Delf "ST3.DLL")

Esperamos lo prueben y nos indiquen resultados

saludos

ms, 25-10-2005

alatriste182 · Mensaje por **alatriste182** » 26 Oct 2005, 23:00

Buenas gente!

entre aki pq me paso lo mismo que al creador del topic, el martes 25 de octubre por la noche me emti en una pagina de las q salen en astalavista de cracks y dsd ese momento spyware y mas spyware, y como las malditas pages terminadas en yyy34

entonces observe los ficheros creados dsd ese mismo instante en el buscador de windows, y elimine mucha basura, pero el problema persistia

me di cuenta q ciertos .dll se crearon en ese momento, pero cuando reiniciaba y volvia a buscar esos .dll habian cambiado el nombre, y de los anteriores ni idea.

los he visto wtaspi32.dll, h2jd...dll, y muchos mas nombres extraños q me hacien sospechar

despues de probar miles de antispywares y antivirus sin solucionar nada, entre en modo a prueba de fallos y elimine los 3 .dll y un archivo llamado guard.tmp(por si acaso), todos en system32 y ocupando exactamnt 230kb o 231 kb

cuando reinicie ya no habia dll extraños y no me ha vuelto a aparecer las ventanicas de momento(cruzo los dedos)

no use el elistara pq parece q de momento va, pero supongo que tb lo solucionara

he aqui mi aportacion, q aunk un poco cutre o rara, a mi me ha servido, el caso es ayudarnos

mu wena pagina y wenos consejos

nos vemos!

alatriste182 · Mensaje por **alatriste182** » 26 Oct 2005, 23:25

perdonad por el mensaje anterior, pues no habia vsito esta pagina:

http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp

de toas formas al bajar el un-installer que ahi ponia, al ejecutarlo no me ha ido

se puede bajar o conseguir de otro sitio?

asias :)

Mensaje por **msc hotline sat** » 27 Oct 2005, 15:12

En cualquier caso, con el ELISTARA actual hubieras resuelto el problema, pues ya controlamos como DELF la ST3.DLL

Gracias por tu colaboracionm, y solucionado el caso, procedemos a cerrarlo

saludos

ms, 27-10-2005