trojano stwoyle.a (SOLUCIONADO)

[juank1]

desde hace unas semanas tengo en mi pc el troyano stwoyle.a, despues de investigar por internet, no puedo desacerme de el, la verdad esque formatear el la unidad c: es lo ultimo que quiero hacer.



si pudierais ayudarme, hace unos dias di con una solucion que creia que medio funcionaba, pero me equivoque.



cualqueir ayuda lo agradeceré, saludos.



juank

[msc hotline sat]

Podría tratarse de una variante del smitfraud



Prueba con el ELISTARA, arrancando en modo seguro:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y si no lo detecta y elimina, envianos una muestra del fichero donde te lo encuentra tu detector a zonavirus@satinfo.es anexada a un mail en vuyo texto indiques referencia "REF stwoyle" y lo implementaremos en una proxima version del ELISTARA, de lo cual informaremos en este Tema



saludos



ms, 23-10-2005

[juank1]

lo hare, sea lo que os informare, muchas gracias.



juank

[juank1]

tengo un pequeño problema que por cuestiones de trabajo no puedo solucionar ahora. el antivirus cuando detecta el troyano elimina el archivo infectado, tengo que iniciar de forma que no borre el archivo y lo mando.



por cierto el elistara me encontro y eliminó dos troyanos, alexa y puper.



en cuanto pueda mandaros un archivo infectado, lo hare



saludos y gracias.



juank

[msc hotline sat]

Simplemenmte cambia en el antivirus que en lugar de eliminar, migre el fichero, con lo cual conseguiras lo mismo pero no lo perderás.



En cuanto lo recibamos, implementaremos su control y eliminacion en nuestras utilidades



saludos



ms, 24-10-2005

[juank1]

no se si esto servirá de algo, pero ahí va:



Logfile of HijackThis v1.99.1

Scan saved at 14:46:31, on 24/10/2005

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\DRIVERS\WtSrv.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\WINNT\Mixer.exe

C:\WINNT\System32\PreAnntt.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\WINNT\System32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\yo\CONFIG~1\Temp\Rar$EX00.860\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AnnotateCheck] C:\ARCHIVOS DE PROGRAMA\WIZARDPEN SERIES\AnnCheck.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKCU\..\Run: [PreAnnotate] C:\WINNT\System32\PreAnntt.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BA3E727-5F23-447A-A7F3-4C334FA6ABDC}: NameServer = 62.14.63.145,62.14.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0BA3E727-5F23-447A-A7F3-4C334FA6ABDC}: NameServer = 62.14.63.145,62.14.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{0BA3E727-5F23-447A-A7F3-4C334FA6ABDC}: NameServer = 62.14.63.145,62.14.2.1

O20 - Winlogon Notify: style32 - C:\WINNT\q67843.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: CWShredder Service - InterMute, Inc. - L:\nuevo\n1\CWShredder.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe

O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINNT\System32\DRIVERS\WtSrv.exe

[msc hotline sat]

AL respecto hay una ckave que sobra:





O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)





Eliminala marcandola y dandole FIX



saludos



ms, 24-10-2005

[juank1]

ya he borrado la clave, sin mayores problemas. no puedo mandaros el archivo infectado, no se porque el servidor de correo no me lo permite.



pero se de donde lo podeis coger, el troyano al iniciar el pc lo que hace es conectarse a esta web y bajarse el archivo dll que os indico....



http://musah.info/st3.dll (este es el archivo en el que me detecta el troyano).



si puedo hacer algo mas, solo teneis que decirlo, gracias.



juank

[msc hotline sat]

Gracias, lo bajamos y analizamos e informamos como respuesta de este Tema



saludos



ms, 25-10-2005

[msc hotline sat]

Descargado y analizado por VirusTotal algunos antivirus detectan troyano:


[quote="VirusTotal"]
Este es el resultado de analizar el archivo "st3.dll" que VirusTotal ha procesado el dia 25/10/2005 a las 07:55:20 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.32.0.6 24.10.2005 TR/Spy.Delf.H.3.B

Avast 4.6.695.0 24.10.2005 Win32:Trojano-1941

AVG 718 24.10.2005 no ha encontrado virus

Avira 6.32.0.6 24.10.2005 TR/Spy.Delf.H.3.B

BitDefender 7.2 22.10.2005 no ha encontrado virus

CAT-QuickHeal 8.00 24.10.2005 no ha encontrado virus

ClamAV devel-20050917 21.10.2005 Trojan.Downloader.Delf-157

DrWeb 4.32b 23.10.2005 Trojan.Click.732

eTrust-Iris 7.1.194.0 25.10.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 24.10.2005 no ha encontrado virus

Fortinet 2.48.0.0 25.10.2005 no ha encontrado virus

F-Prot 3.16c 24.10.2005 no ha encontrado virus

Ikarus 0.2.59.0 24.10.2005 no ha encontrado virus

Kaspersky 4.0.2.24 24.10.2005 no ha encontrado virus

McAfee 4611 24.10.2005 no ha encontrado virus

NOD32v2 1.1264 24.10.2005 a variant of Win32/TrojanDownloader.Delf.NBH

Norman 5.70.10 24.10.2005 no ha encontrado virus

Panda 8.02.00 24.10.2005 Trj/Stwoyle.A

Sophos 3.98.0 25.10.2005 no ha encontrado virus

Symantec 8.0 24.10.2005 no ha encontrado virus

TheHacker 5.8.4.127 24.10.2005 no ha encontrado virus

VBA32 3.10.4 24.10.2005 Trojan.Click.732







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com
[/quote]

Procedemos a enviar muestra a McAfee e implementar su control y eliminacion en el ELISTARA



saludos



ms, 25-10-2005

[msc hotline sat]

Ya hemos subido a esta web la verisn 10.48 del ELISTARA que controla y elimina este TS3.DLL que pasamos a identificar como DELF



---v10.48-(25 de Octubre del 2005) (Muestras de SearchAid o HSA, (3)DownLoader.F, BackDoor-CSL, DownLoader.DS "MSSYS.EXE", (3)Savage, (2)CommAd y Delf "ST3.DLL")



Puedem descargarla para pruebas de evaluacion e infomarnos al respecto, como respuesta de este Tema, gracias



saludos



ms, 25-10-2005

[juank1]

buenas, aparte de que no se lo hice ayer que ya no no volvio a detectarme virus, vaya....



tambien he probado la nueva version del elistara y funciona, me limpió un dll infectado que estaba siendo usado por windows incluso en modo seguro.....



renombre el dll con un diskette de inicio y elistara hizo el resto.



gracias a todos y magnifico trabajo.



juank.

[maura63]

Y no te olvides de actualizar con windows update, te falta el SP4 + parches posteriores



Logfile of HijackThis v1.99.1

Scan saved at 14:46:31, on 24/10/2005

Platform: [color=red]Windows 2000 SP3 [/color](WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)





Saludos

maura63

[msc hotline sat]

Pues ya con todo ello y comprobado que funcionó el ELISTARA, consideramos solucionado el Tema y procedemos a cerrarlo



saludos



ms, 26-10-2005