SpyAxe y Smitfraud-C (Solucionado)

[victorm]

Hola amigos.



He intentado eliminar el famoso Spyaxe pasando el Spybot y el Ad-aware. Me han detectado y limpiado otras porquerías, pero no han coseguido eliminar estos espías. En concreto, el Spybot no puede eliminar al Smitfraud-C.



Siguiendo las instrucciones que habéis dado en el foro, he utilizado el HijackThis, eliminando las entradas que indicabais para otros amigos y que coincidían con las mías. Sin embargo, continúa apareciendo el aviso de que el ordenador está infectado continuamente. Ya no me aparecen ventanas, pero el Spyaxe se autogenera aunque lo desinstale. Por otro lado, desde que pasé el spybot y el ad-aware a mi no me reenvía a otras páginas web; puedo acceder a las páginas que yo quiero.

Lo que me resulta extraño es que he intentado descargarme el ELISTARA y no me permite la descarga. No estoy seguro si es por mi configuración del explorador o si es posible que tenga algo que ver el espía.

Quería pediros el favor de que le echaráis un vistazo a mi log, por si me podeis ayudar al respecto.

Muchas gracias.

Logfile of HijackThis v1.99.1

Scan saved at 14:57:14, on 14/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://buscador.eresmas.com?skin=mini

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://buscador.eresmas.com?skin=mini

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ooodocs.org/dictinstall/es/nexthelp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{423C5520-A569-4007-A08A-7AE1139FDE2E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{423C5520-A569-4007-A08A-7AE1139FDE2E}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

[msc hotline sat]

Bajate la ultima version del ELISTARA 10.77, ARRANCA EN MODO SEGURO y lanzala y nos informas del resultado, como respuesta de este Tema, gracias





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 18-12-2005



NOTA: y estas entradas en el HOSTS te redirigen a wanadoo cuando quieres entrar en msn.com, elimina estas claves si no es lo que quieres:



O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com



ms.

[victorm]

Gracias por la ayuda.



He descargado y pasado el Elistara en modo seguro. Parece ser que no hay rastro del Spyaxe; sin embargo el famoso aviso de infección con el aspa intermitente continua apareciendo.



Os envío el nuevo HijackThis que he obtenido, por si observáis algo extraño o que pueda ser de utilidad.



Muchas gracias.



Logfile of HijackThis v1.99.1

Scan saved at 12:44:27, on 19/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ooodocs.org/dictinstall/es/nexthelp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{423C5520-A569-4007-A08A-7AE1139FDE2E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{423C5520-A569-4007-A08A-7AE1139FDE2E}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

[maura63]

OJO¡¡¡¡



este antispyware "[color=red]Spyware Cleaner[/color]" esta catalogado como sospechoso y no confiable.



C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\Marineda\anti-espias\No-Spy.exe





Elimina y usa Ad_aware y Spybot.



Saludos

maura63

[msc hotline sat]

Pues ya en el HJT no queda nada malware. Y las dos claves unicamente raras



O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd



O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab





son al parecer un driver de audio y un active X de la Agencia Tributaria, respectivamente



Así que lo indicado debe ser cargado en claves no visibles en el log de HJT



Como que la utilidad SPROCES mira mas claves, conn las que encontramos la carga del PUPER que no es posible verlo con el HJT, lanzala, y te generará el fichero C:\SPROCLOG.TXT, lo abres con el bloc de notas, lo seleccionas todo con ALT-E y lo copias al portapapeles con ALT-C, luego editas un post de respuesta a este Tema y lo pegas con ALT-V



A ver si allí aparece y te indicamos como eliminarla.



saludos



ms, 19-12-2005

[msc hotline sat]

Como que el SPROCES.EXE es una utilidad en desarrollo no está prevista en accesos normales a descargas .



Bajala desde



http://www.zonavirus.com/descargas/sproces.asp



saludos



ms, 20-12-2005

[victorm]

Hola de nuevo.



Muchas gracias por la ayuda que me estáis prestando. Espero que tambien sea de utilidad a otros amigos/as que tengan el mismo problema.



He eliminado las entradas que me indicó maura63, pasando el Ad-aware y el Spybot.

También he utilizado la última versión del Elistara en modo seguro. A partir de ese momento no hubo rastro del Spyaxe, aunque me continuaba apareciendo el mensaje de infección. Sin embargo, al encender de nuevo el equipo esta mañana me encuentro con el Spyaxe instalado (y el famoso mensajito continúa saliendo).

A continuación adjunto el informe generado por el Sprocess, por si encontráis algo importante.



Muchas gracias.



Tue Dec 20 10:04:07 2005

SProces v1.8 (c)2005 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVSRV51.EXE -> pavsrv.exe, 6.03.0.101, Panda Antivirus Service for Windows NT/2000, Panda Software

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\AVENGINE.EXE -> AVENGINE.exe, 6.03.0.100, Proceso análisis independiente, Panda Software

C:\WINDOWS\SYSTEM32\SISTRAY.EXE -> SISTRAY.EXE, 0.0.0.2081, SiS Compatible Super VGA Tray Application, Silicon Integrated Systems Corporation

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE -> RUNDLL.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Ejecutar un archivo DLL como una aplicación, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE -> ApVxdWin.exe, 2.09.02, ApVxdWin, Panda Software International

C:\WINDOWS\SYSTEM32\CTFMON.EXE -> CTFMON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), CTF Loader, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE -> wscntfy.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Windows Security Center Notification App, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE -> , , ,

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE -> MSIMN.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Outlook Express, Microsoft Corporation

A:\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.



Llamadas en el Registro de Sistema:

-----------------------------------

[HKCU\...\Windows] "Load"=""

[HKLM\...\Winlogon] "Shell"="Explorer.exe"

[HKLM\...\Winlogon] "UserInit"="C:\WINDOWS\system32\userinit.exe,"

[HKLM\...\Windows] "AppInit_DLLs"=""

[HKCR\exefile] ""%1" %*"

[HKCR\comfile] ""%1" %*"

[HKCR\cmdfile] ""%1" %*"

[HKCR\batfile] ""%1" %*"

[HKCR\piffile] ""%1" %*"

[HKCR\scrfile] ""%1" /S"

[HKCU\...\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"

[HKLM\...\Run] "SiS Tray"="C:\WINDOWS\System32\sistray.EXE"

[HKLM\...\Run] "SiS KHooker"="C:\WINDOWS\System32\khooker.exe"

[HKLM\...\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe"

[HKLM\...\Run] "Cmaudio"="RunDll32 cmicnfg.dll,CMICtrlWnd"

[HKLM\...\Run] "NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe"

[HKLM\...\Run] "APVXDWIN"=""C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s"

[ShellServiceObjectDelayLoad] "PostBootReminder" {7849596a-48ea-486e-8937-a2a3009f31a9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "CDBurn" {fbeb8a05-beee-4442-804e-409d6c4515e9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "WebCheck" {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> NULL1

[ShellServiceObjectDelayLoad] "SysTray" {35CEC8A3-2BE6-11D2-8773-92E220524153} -> C:\WINDOWS\System32\stobject.dll



Internet Explorer:

------------------

[HKCU] "Start Page"="about:blank"

[HKLM] "Start Page"="about:blank"

[HKCU] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

[HKLM] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

URLSearchHooks (HKCU): "Hook de búsqueda de direcciones URL de Microsoft" {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -> %SystemRoot%\System32\shdocvw.dll

Servidores DNS: 80.58.0.33,80.58.32.97



Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\desktop.ini

C:\Documents and Settings\VICTOR MANUEL\Menú Inicio\Programas\Inicio\desktop.ini



Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------



Contenido del CONFIG.SYS:

-------------------------



Contenido del AUTOEXEC.BAT:

---------------------------



Contenido del WINSTART.BAT:

---------------------------



Contenido del HOSTS:

--------------------

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo "#"

#

# Por ejemplo:

#

# 102.54.94.97 rhino.acme.com # servidor origen

# 38.25.63.10 x.acme.com # host cliente x



127.0.0.1 localhost

[maura63]

Elimina esta otra entrada que quedo atras



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ooodocs.org/dictinstall/es/nexthelp.html



Saludos

maura63

[msc hotline sat]

Pues si Maura63 lo dice, pruebalo y nos cuentas el resultado, eliminando paralelamente lo demas del SPYAXE como ya sabes.



La verdad es que esta del nexthelp.html no la conocíamos como malware, lo cual confirma que 4 ojos ven mas que dos... :lol: :lol: :lol:



Esperamos tus noticias



saludos



ms, 20-12-2005

[victorm]

Hola amigos.



He eliminado la entrada que me dijo maura63. He arrancado en modo seguro y he ejecutado el Elistara, Spybot y Ad-aware. Me han detectado en diversos archivos y registros al Spyaxe, y lo han eliminado.

He reiniciado en modo seguro y los he vuelto a ejecutar sin que hayan encontrado nada (aunque el mensajito continuaba apareciendo mientras pasaba estos programas).



Como imaginaba, he reinciado normalmente y en cuestión de segundos ya tenía instalado el Spyaxe (con los mensajes, lógicamente).



No sé si os sería de utilidad que os enviase algún log o cualquier otra información para ver si podéis encontrar algo. En todo caso, muchas gracias por la ayuda que me estáis prestando.



Saludos,

Víctor.

[msc hotline sat]

Hemos implementado al ELISTARA 10.79 el control y eliminacion de un SVCHOSTS.DLL relacionado con el SPYAXE. Baja la nueva version y procede con ella...



Y nos informas del resultado, gracias



saludos



ms, 21-12-2005

[cybernano]

Estimados colegas, ante todo he de daros las gracias por todos los consejos que me disteis para eliminar "er mardito" spyaxe.

Segui las indicaciones y pase el Spyboot, el ad-ware, el cwshredder, ...

Parecia que todo estaba sin virus pero el famoso mensaje continuaba ...

No habia infeccion lo unico que tenemos que hacer es ir a

incico / ejecutar

regedit

- Buscar la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter

en la clave (AntivirusDisableNotify) tendremos que poner un 1



las demas (AntivirusOverride, FirewallDisabeleNotify, FirewallOverride, UpdatesDisableNotify) estan a 0

Gracias a todos

[maura63]

Pues nos alegramos de ello, y solucionado el tema lo cerramos.



Saludos

maura63

[msc hotline sat]

Postcierre: Gracias por decirnoslo, lo probaremos en el nuevo ELISTARA que estamos acabando, y hoy ya lo subiremos a esta web.



saludos



ms, 23-12-2005