# Spyaxe SOCORRO!!

[nandito98]

Vaya lata esto es un infierno por favor ayuda para este spyware tan asqueroso.



No es denunciable este tipo de urtos?



un saludo y gracias de antemano

[msc hotline sat]

El SPYAXE está incluido en la relacion de antispywares que se sabe que contienen bicho:



http://www.vsantivirus.com/lista-nospyware.htm



Siga las indicaciones de nuestro tutorial al respectio para eliminar el adware y desinstale el SPYAXE desde Panel de control -> Agregar o quitar programas



https://foros.zonavirus.com/viewtopic.php?t=4795



saludos



ms, 14-11-2005

[harhi]

Ke rallada, no consigo eliminarlo. He seguido las pautas que has indicado y nada. Os hago un pequeño resumen de lo ke he hecho y a ver si me podéis ayudar:



- Me bajé los 3 programas: ad-aware, spybot y hijackthis.

- Ejecuté el ad-aware y me encontro 50 cosas, 48 cookies y 2 modificaciones de registro. Eliminó las 50 y este programa ya no me encuentra nada.

- Después entré en modo prueba de fallos. Ejecuté en spybot, y tb me encontró varias cosas: smitfraud-C, wintex (o algo así) y algunas cosas más. A todo ello, decir que siempre que reinicia windows es cuando instala automáticamente el spyaxe y lo ejecuta, etc, etc.

- Vamos, ke los 2 programas me han encontrado basura y la han eliminado, pero el botoncito de la barra de herramientas en forma de windows update siempre está ahí, y es el que provoca que se instale cada vez el spyaxe.

- El Ad-watcher a veces me encuentra una modificación en el registro LOCAL-MACHINE-microsoft-windows-currentversion-run-spyaxe. Lo eliminó, pero nada.



Así ke pues eso, el botncito ke lo desencadena todo es el único ke no se va, así ke por último y como indicáis en las reglas, he usado el hijackthis y aquí os pongo lo ke me ha sacado.





Logfile of HijackThis v1.99.1

Scan saved at 12:11:21, on 17/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - C:\WINDOWS\adsldpbd.dll

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp6FC1.tmp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Archivos de programa\bet365MPP\MPPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127823491765

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Perdón por la parrafada, y a ver si alguien sabe como solucionarlo o lo ha tenido y lo ha eliminado.



Thx



pd: diría ke esto tendría ke estar en en apartado spyware, pero como he visto este hilo abierto he aprovechado para ponerlo aquí.

[maura63]

Pasa esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y vuelves a pegarnos un nuevo log, comprueba que se muestren archivos y carpetas ocultos del sistema.



Saludos

maura63

[msc hotline sat]

Como que en estas dos claves:



O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - C:\WINDOWS\adsldpbd.dll



O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp6FC1.tmp





Se cargan ficheros típicos del DELF y del PUPER respectivamente, que pueden ser variantes de los conocidos, si el ELISTARA no los detectara y eliminara, envienos muestra de los mismos a zpnavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia REF PUPDELF

y tras analizarlas, implementariamos su control y eliminacion en nuestras utilidades, informandole como respuesta de este Tema



saludos



ms, 17-11-2005

[harhi]

No entiendo bien tu respuesta msc.



En cualkier caso os digo lo ke he hecho y ha pasado. He pasado el Elistara, y me ha detectado 4 cosas:



Aquí os pego el log ke me ha sacado:



Thu Nov 17 13:33:17 2005

EliStartPage v10.60 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\GS]

Por favor, envienos una muestra del fichero

C:\WINDOWS\ADSLDPBD.DLL

a "virus@satinfo.es". Gracias.

Eliminada Class, "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 17 13:34:06 2005

EliStartPage v10.60 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\BET365MPP\MPGUTIL.DLL --> Eliminado, ISTBar

C:\ARCHIVOS DE PROGRAMA\NETBEANS-4.1\ENTERPRISE1\JAKARTA-TOMCAT-5.5.7\WEBAPPS\TOMCAT-DOCS\CONFIG\PRINTER\LOADER.HTML --> Eliminado, StartPage-DU (Pag.Ini)

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible





La cosa es ke ahora la página de inicio ya es la que tocaba y no carga la del spyaxe. Aún así, persiste el botón de abajo y su correspondiente instalación del spyaxe al iniciar la sesión.

Aquí os pego la última del hijackthis.





Logfile of HijackThis v1.99.1

Scan saved at 14:11:55, on 17/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\mdm.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - C:\WINDOWS\adsldpbd.dll

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp6FC1.tmp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Archivos de programa\bet365MPP\MPPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127823491765

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





msc, vuélveme a explicar lo del mensaje anterior pk no lo he entendido mucho. Igual te refieres a que envíe el adsldpbd.dll como dice el Elistara?



Bueno, gracias por la rapidez y el interés mostrados. A ver si conseguimos matar al dichoso spyaxe de una vez!!

[msc hotline sat]

[quote="harhi"]msc, vuélveme a explicar lo del mensaje anterior pk no lo he entendido mucho. Igual te refieres a que envíe el adsldpbd.dll como dice el Elistara?
[/quote]



Sí, y además el hp6FC1.tmp que no te pide el ELISTARA, lo cual pediremos en la version 10.61 del ELISTARA que estamos haciendo ahora, si no recibimos antes de compilarla, dicha muestra, para poder controlarla por cadenas.



y ahora miro el HJT...



TIENE UN PROCESO RESIDENTE QUE NO SÉ DONDE LO CARGA EN EL REGISTRO: C:\WINDOWS\system32\mssearchnet.exe



Y PODRÍA SER POR CULPA DE ESTAS, QUE NO SÉ LO QUE SON: C:\WINDOWS\system32\mssearchnet.exe





O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe



O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe



O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Archivos de programa\bet365MPP\MPPoker.exe





SI NO LAS CONOCE, ELIMINE LAS CLAVES-







Además, lance el navegador I.E. y en Herramientas. Opciones de Internet, Seguridad mire los sitios de confianza y elimine los que no lo sean de verdad...







Y tras ello reinicie y nos cuenta los resultados, gracias



saludos



ms, 17-11-2005





nota : De este fichero trouano C:\WINDOWS\system32\mssearchnet.exe



rueho tambien nos envie una muestra, junro con las demás muestras, gracias ms

[harhi]

ok, acabo de enviar el mail a zpnavirus@satinfo.es con los 2 archivos que me has pedido.



En cuanto a lo último que me has dicho, los O9 si se lo ke son. Lo que no se que es es el mssearchnet.exe.

Y lo de los sitios de confianza ya lo hice antes manualmente, y además creo ke el Elistara tb lo hizo.



Voy a ver que es el searchnet.exe ese y a ver si me lo puedo cargar.



Gracias

[maura63]

mssearchnet - mssearchnet.exe - Process Information

Process File: mssearchnet or mssearchnet.exe

Process Name: Trojan.Zlob.D Trojan



Description:

mssearchnet.exe is registered as the Generic Downloader.aa and Trojan.Zlob.D Trojans. This process usually comes bundled with a virus and it’s main role is to do nothing other than download other viruses to your computer. It is a registered security risk and should be removed immediately.



Author: na

Part Of: Trojan.Zlob.D Trojan



System Process: No

Background Process: Yes

Uses Network: Yes

Hardware Related: No

Common Errors: N/A

Memory Usage: N/A ( Free Up Memory )



Security Risk (0-5): 4

Spyware: No ( Remove )

Adware: No ( Remove )

Virus: No ( Remove )

[color=red]Trojan: Yes [/color]( Remove )





Saludos

maura63

[harhi]

vale, fijo ke es el mssearchnet este.

Hago control-alt-suprimir, mato al preceso y de forma instantanea ya hay otro proceso igual.

También voy a Windows/System32 y para más cachondeo tiene el mismo logotipo que el botoncito que aparece abajo tocando las narices. Lógicamente no me deja borrarlo.



Así que no se como eliminarlo, pero almenos ya sabemos que es eso (o se supone).



Alguna sugerencia más? :(





Gracias

[maura63]

Prueba de pasar el elistara pero arrancando en modo seguro y desactivando la restauracion del sistema antes.



Saludos

maura63

[msc hotline sat]

Prueba de arrancar en modo seguro con solo simbolo de sistema y mieve el dichoso mssearchnet a otro carpeta, al doirectorio razi por ejemplo, este y todos los que tengas problemas de eliminacion, y asi cuanbdo arranques de nuevo ya no estaran en su sitio y no los encontrará á clave que intenta cargarlos en memoria, y, tras enviarnos muestras de los que no lo gatas poidido hacer, como la de este mssearchnet, podtás borrarlos al no estar en uso, y eliminar las claves.



De todas formas, tras recibir las muestras, implementaremos su contril y eliminacion (de claces y ficheros) en el proximo ELISTARA, y comodamente los podrás eliminar lanzando la nueva version.



saludos



ms, 17-11-2005

[harhi]

Madre mía, ke agotamiento :S

He arrancado como me habéis dicho y he podido borrar el mssearchnet.exe. La cosa es ke ha resultado no ser eso (si bien era algo malo, está claro). El botoncito sigue aparaciendo y metiendo m***da en el ordenador (el spybot ha detectado y borrado varias veces ya, a varios spywares (psguard, avguard, y algunos más).



Es decir, aún entrando en modo a prueba de fallos, el botoncito de abajo se ejecuta igualmente. Aquí os pongo el hijackthis de cuando he entrado en modo seguro:





Logfile of HijackThis v1.99.1

Scan saved at 19:28:37, on 17/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B712} - C:\WINDOWS\adsldpbd.dll

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp6FC1.tmp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Archivos de programa\bet365MPP\MPPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127823491765

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Me he bajado el kaspersky y no detecta nada tampoco.

Buff, estoy por formatear, cosa que quería evitar a toda costa, pero con lo ke se resiste el cabronazo este...



Thx de nuevo (los voy a gastar al final xD Pero es verdad, contestáis muy rápido y es de agradecer)

[msc hotline sat]

Pues quedan tofavía claves por eliminar pero que mo pueden eliminarse manualmente con el HJT, sino que tan pronto recibamos las muestras que te hemos pedido, te avisaremos en este Tema para qye puedas probar la nueva version del ELISTARA que haremos al respecto



Son todos los ficheros, pero especialmente este mssearchnet.exe que eres el primero que ha sufrido la incidencia.



Mañana mismo cuento que podremos ofrecerte probar la nueva version. Nos pondremos manos a la pobra en cuanto las recibamos



saludos



ms, 17-11-2005

[harhi]

Te he enviado los archivos, esta tarde, pero me han devuelto el mail... y es ke lo envíe en zpna@... así ke ya lo he vuelto a enviar a zona@satinfo.es con asunto REF PUPDELF.

[b]______________________________________



Intervencion de zonavirus:



La direccion correcta de envio es zonavirus@satinfo.es no las arriba indicadas

_____________________________________



[/b] Como te digo en el mail, no te he podido adjuntar el mssearchnet ya que lo he conseguido borrar cuando me has dicho de entrar en modo seguro... y se me ha ido el hacer una copia :(



A ver si te sirven los 2 archivos estos.



Saludos y thx!

[maura63]

Has comprobado antes de lanzar hijackthis que se muestran todos los archivos y carpetas ocultos del sistema :?: :?:





Saludos

maura63

[harhi]

sisi, lo hice en cuanto me lo dijiste la 1º vez.

Y por cierto, no se como pero el mssearchnet.exe ha resucitado, así ke ya lo he enviado tb a zona@...



Supongo ke el kit de la cuestión es encontrar donde está el exe que ejecuta el botón de la barra de herramientas ke no se va ni a la de 3, y ke es el ke crea el mssearchnet, spyaxe, psguard, smitfraud, etc, etc



Bufff, a ver si mañana conseguimos matarlo, sino me veo haciendo un format :S

[msc hotline sat]

Hasta ahora hemos podido con todos los malwares, y desde el primer dia hasta hoy llevamos mas de 160.000 ...



En cuanto llegue a la oficina nos "cuidaremos" de este.



saludos



ms, 18-11-2005

[harhi]

ok, thx.



Si no os han llegado los 3 archivos dímelo por aquí, que lo vuelvo a enviar.

[msc hotline sat]

Se han recibido y estan en proceso de analisis y monitorizacion, para implemetar su control yeliminacion en la utilidad correspondiente



Te adelanto que el mssearchnet.exe es un downloader, aun no controlaod por McAfee, ni Kaspersky, NOD32.,Symantec ni demás, por lo que ya hemos enviado muestras al respecto para que lo controlen los antivirus.



Hoy mismo te indicaré utilidad que lo controlará, y la subiremops a esta web para las pruebas de evaluacion



saludos



ms, 18-11-2005

[milius]

Sin ánimo d incumplir ninguna norma del foro quisiera comentar mi experiencia con este maldito virus del aspa.



A mi tambien me salió de repente el simbolito de circulo rojo con el aspa blanca intermitente con el símbolo de la bola azul de actualizar windows y el mensaje de su sistema está infectado en inglés.



Lo primero que hace el bandido es instalarte por las buenas el spyaxe y descargar varios virus o troyanos, en concreto a mi el download.trojan. A este si lo paró el Norton y borró los archivos que suelen venir con una letra y unos números siemrpre diferentes. En una ocasión pasando una de las utilidades del foro y siguiendo su recomendación para ir más rápido desconecté mi antivirus y el resultado fue que se instaló el citado virus y se colgaba la máquina al arrancar. Afortunadamente justo antes del cuelge en el arranque haciendo click muy rapido en el icono del antivirus se arrancaba este, y aunque de forma penosa pude activar el escaneo del sistema y eliminarlo.



Aparte te instala el citado mssearchnet.exe que es el responsable de que salga otro mensajito de la barra de tareas similar al aterior, este con un iconito triagular amarillo con un símbolo de admiración dentro. Lo eliminé borrando este archivo (despues de deducir que era malo) arrancando en modo seguro y desde el símbolo del sistema.





Pasando el ad aware, spy bot, elistara, elitrip y el antispyware de Microsoft borré algunos codigos y entradas maliciosas que me dieron. algunos tuve que eliminarlas a mano usando el regedit desde el mismo arranque seguro y simbolo del sistema como unas referetes a un archivo llamado nvctrl.exe y su pf y por supuesto los archivos.



Todo esto varias veces y entre otros y la cosa no tiene visos de parar. Tengo en casa una recopilación escrita no rigurosa del todo de los bichos que me ha ido metiendo y he ido quitando, que en otro momento puedo poner si interesa.



El problema es que el mensaje del aspa no hay forma de quitarlo, no lo detecta nada y mientras esté no hay seguridad alguna, tambien aparece arrancando en modo seguro y se ve en la relación de programas corriendo que da el microsoft antispyware auque no he podido averiguar que archivo depende. De forma chapucera se puede ocultar utilizando la funcion de ocultar iconos de la barra de tareas. pero acaba volviendo a salir y de todas formas sigue ahí aunque no le veas de momento.



Ya estoy cansado del bicho y de perder horas con el temita. Así que a falta de una solución viable ya he empezado a salvar datos personales y recuperaré el portatil con el disco del HP o bien formatearé de nuevo.



En un foro he visto a alguien que al final pareció solucionarlo borrando este archivo: param32.dll. No he buscado en el mio -ahora estoy en el trabajo- y no sé si resultaría pero ahí lo dejo.



Un saludo

Milius

[msc hotline sat]

Gracias a las muestras recibas con la referencia PUPDELF se pasa a controlar los troyanos controlador, variantes del PUPER, del DELF y generador de un downloaders, como se indica em:



https://foros.zonavirus.com/viewtopic.php?p=44567#44567



Tras descargarla y probarla, harhi indiquenos el resultado como respuesta de este Tema



Y a milius se le pide que abra un Tema nuevo si con ello no lo resuelve, pues este se cerrará si se soluciona lo indicado por harhi y si no fuera lo miemo, le pediaríamos muestras y demás a milius, por lo que de pedimos que en su caso no lo mezcle con este, aunque sea parecido, si no queda soluciuonado con lo indicado, cpòamdo un copiar y pegar de su post en el nuevo Tema. Hay 50 nuevas variantes cada día que aunque parecidas, requieren un tratamiento especial, si no son identicamente lo mismo.



saludos



ms, 18-11-2005

[msc hotline sat]

Y especialmente para harhi o/y milius, pero tambien para cualquier otro forero que lo tuviera:



Y si alguno de los participantes de este Tema encientra el fichero indicado por milius, param32.dll, que nos lo envie a zonavirus@satinfo.es anexado a un mail en cuyo texto figure la referencia REF PARAM32 y tras analizarlo. si procede implementariamos su control y eliminacion en nuevas versiones de nuestras utilidades, e informariamos comorespuesrta de este Temaç



saludos



ms, 18-11-2005

[harhi]

Bueno, ya he probado la nueva versión y me ha detectado un traoyano Pupper, sin embargo, esto sigue igual.... botoncito abajo creando cosas.



Acabo de enviar al mail el nvctrl.exe ke me ha pedido el elistara.



En cuanto al archivo param32.dll yo no lo tengo.





pd: me pasa lo ke a ti milius, se consigue eliminar todo lo ke crea la cosa esta, menos a ella... por lo ke en 10 minutos vuelves a estar como al principio :(



pd2: hasta las 8 no estaré otra vez por aquí, así ke no podré probar nada hasta entonces... si hay algo nuevo ponlo ke en cuanto llegue lo pruebo inmediatamente



Saludos!

[maura63]

Es algo referente a esto??



http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=46980





Saludos

maura63

[msc hotline sat]

Sí, hay muchas paginas de informacion del param32.dll en Internet que se obtienen con el google.



De hecho nos hemos mirado unas cuantas, incluida esta, y a la vista de las muestras que nos acaba de enviar, estamos ya aplicandolas a la nueva version del ELISTARA que estamos haciendo, teniendo previsto subirlka esta tarde al foro.



Por cierto, que adjunto el mensaje que ha indicado el cliente en el mail, que recuerdo que siempre debe postarse en el foro, siendo opcional en los mails, en los que lo importante es especificar referencia y adjuntar la muestra en cuestion:


[quote]To: <zonavirus@satinfo.es>

Subject: Re: REF PUPDELF

Date sent: Fri, 18 Nov 2005 15:16:57 +0100





Aquí te envío el nvctrl.exe ke me ha pedido el Elistara, y el nvctrl de windows/system32



La cosa sigue igual... la nueva versión me ha detectado un troyano Pupper y lo ha eliminado.

La cosa es ke el botoncito de siempre sigue apareciendo, e instalando el spyaxe, mssearchnet, el nvctrl, etc



SaludosTo: <zonavirus@satinfo.es>

Subject: Re: REF PUPDELF

Date sent: Fri, 18 Nov 2005 15:16:57 +0100





Aquí te envío el nvctrl.exe ke me ha pedido el Elistara, y el nvctrl de windows/system32



La cosa sigue igual... la nueva versión me ha detectado un troyano Pupper y lo ha eliminado.

La cosa es ke el botoncito de siempre sigue apareciendo, e instalando el spyaxe, mssearchnet, el nvctrl, etc



Saludos[/quote]

Informaremos cuando la subamos al foro



saludos



ms, 18-11-2005

[msc hotline sat]

Subida version 10.62 del elistara a esta web



---v10.61-(18 de Noviembre del 2005)



saludos



ms, 19-11-2005

[harhi]

Ya estoy aquí de nuevo... nada, el cabronazo sigue ahí. El Elistara me ha detectado 5 archivos infectados o troyanos, de los cuales me ha eliminado 1 al momento, y después de reiniciar el resto. Sin embargo, el botón sigue apareciendo y a los 2 minutos de eliminar nvctl, mssearch, etc, ya los vuelvo a tener :(



No se ya... creo ke voy a formatear pk no hay forma. Si me decís ke espere, ke tenéis otro cartucho en la recámara o algo, me espero, pero sino formateo y acabo antes.



Venga, saludos y thx!

[msc hotline sat]

Baja la v 10.62 del ELISTARA, copiala en el directorio raiz, aopaga el ordenador y arranca en modo seguro en solo simbolo de sistema (la tercera de las opciones de modo seguro) y en este modo, desde DOS, ejecuta el ELISTARA desde C:\



Luego reinicia normalmente y lee el C:\infosat.txt correspondiente a este ultimo testeo



Y si te pide enviar muestra, hazlo y sino, cuentanos lo que ha hecho,. como respuesta de este Tema, gracias



saludos



ms, 20-11-2005

[harhi]

nada, pasa lo mismo de siempre... "eso" se keda y vuelve a crearlo todo.

El programa no me ha dicho ke envíe ningún fichero ni nada.



Bueno, ya llevo suficientes días con la cosa esta, y estoy harto :( Así ke voy a formatear esta misma tarde.



Muchas gracias por todo y enhorawena por la web!



Saludos!