CoolWWWSearch, SpyAxe no quieren morir

[edil2k]

Entre en Safe Mode y utilize Spybot+Ad-Aware+Spy Sweeper. Con esto se limpia todo, pero cuando vuelvo a entrar en modo normal vuelven a aparecer los spywares.



Corri el Hijackthis en Safe Mode y este fue el resultado:



Logfile of HijackThis v1.99.1

Scan saved at 9:00:40 PM, on 1/4/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell4me.com/myway

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell4me.com/myway

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.dell.com

O2 - BHO: Class - {1C72FEB7-4D6C-FAF3-195A-D51516EDCC77} - C:\WINDOWS\apiko32.dll

O2 - BHO: Class - {52F8F9CD-14A9-B376-D6F1-0CF3B6100277} - C:\WINDOWS\system32\apiua32.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O4 - HKLM\..\Run: [XGIWatchDog] C:\Program Files\XGI\XWatDog.exe

O4 - HKLM\..\Run: [RegServer] regserve.exe

O4 - HKLM\..\Run: [Trirot] Trirot.exe

O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2D1.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [msre32.exe] C:\WINDOWS\system32\msre32.exe

O4 - HKLM\..\Run: [19B.tmp] C:\DOCUME~1\Homero\LOCALS~1\Temp\19B.tmp.exe

O4 - HKLM\..\Run: [19C.tmp] C:\DOCUME~1\Homero\LOCALS~1\Temp\19C.tmp.exe

O4 - HKLM\..\Run: [19C.tmp.exe] C:\DOCUME~1\Homero\LOCALS~1\Temp\19C.tmp.exe

O4 - HKLM\..\Run: [19B.tmp.exe] C:\DOCUME~1\Homero\LOCALS~1\Temp\19B.tmp.exe

O4 - HKLM\..\Run: [ntsq.exe] C:\WINDOWS\ntsq.exe

O4 - HKLM\..\Run: [atlns.exe] C:\WINDOWS\system32\atlns.exe

O4 - HKLM\..\Run: [ntjw32.exe] C:\WINDOWS\system32\ntjw32.exe

O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\Dell Support\DSAgnt.exe" /startup

O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: America Online 9.0 Tray Icon.lnk = C:\Program Files\America Online 9.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesus.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesus.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab

O16 - DPF: {33E54F7F-561C-49E6-929B-D7E76D3AFEB1} (Pool Control) - http://www.worldwinner.com/games/v48/pool/pool.cab

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab

O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\acsd.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE



Espero que me puedan ayudar con este problema.



Muchas gracias,



Edil

[msc hotline sat]

Eliminar:





O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)



O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)



O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)



O4 - HKLM\..\Run: [19B.tmp] C:\DOCUME~1\Homero\LOCALS~1\Temp\19B.tmp.exe



O4 - HKLM\..\Run: [19C.tmp] C:\DOCUME~1\Homero\LOCALS~1\Temp\19C.tmp.exe



O4 - HKLM\..\Run: [19C.tmp.exe] C:\DOCUME~1\Homero\LOCALS~1\Temp\19C.tmp.exe



O4 - HKLM\..\Run: [19B.tmp.exe] C:\DOCUME~1\Homero\LOCALS~1\Temp\19B.tmp.exe



O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)



O16 - DPF: {33E54F7F-561C-49E6-929B-D7E76D3AFEB1} (Pool Control) - http://www.worldwinner.com/games/v48/pool/pool.cab



O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab









Y ver si las siguientes son conocidas o voluntarias, y proceder en consecuencia:





O2 - BHO: Class - {1C72FEB7-4D6C-FAF3-195A-D51516EDCC77} - C:\WINDOWS\apiko32.dll



O2 - BHO: Class - {52F8F9CD-14A9-B376-D6F1-0CF3B6100277} - C:\WINDOWS\system32\apiua32.dll



O4 - HKLM\..\Run: [XGIWatchDog] C:\Program Files\XGI\XWatDog.exe



O4 - HKLM\..\Run: [RegServer] regserve.exe



O4 - HKLM\..\Run: [msre32.exe] C:\WINDOWS\system32\msre32.exe



O4 - HKLM\..\Run: [ntsq.exe] C:\WINDOWS\ntsq.exe



O4 - HKLM\..\Run: [atlns.exe] C:\WINDOWS\system32\atlns.exe



O4 - HKLM\..\Run: [ntjw32.exe] C:\WINDOWS\system32\ntjw32.exe



O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab



O16 - DPF: {33E54F7F-561C-49E6-929B-D7E76D3AFEB1} (Pool Control) - http://www.worldwinner.com/games/v48/pool/pool.cab



O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab



O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab







Tras ellom reiniciar y ver el resultado, aunque no se aprecia nada respecto al SPYAXE , por lo que deberá este eliminarse con otros medios al no ser visible desde el HJT (ELISTARA + AD_AWARE en modo avanzado), lo cual trataremos en fincion de resultados que nos indique como resùesta de este Tema



saludos



ms, 5-1-2006

[edil2k]

Entre en Safe Mode como administrador. Luego de correr spybot + adaware + elistara, no encontre ningun otro error.



Corri el hijackthis y borre las entradas sospechosas, aqui esta el ultimo log file.



Logfile of HijackThis v1.99.1

Scan saved at 10:01:53 PM, on 1/6/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Trirot] Trirot.exe

O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\Dell Support\DSAgnt.exe" /startup

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe



Al entrar nuevamente con mi user name usual, encontre nuevamente el mismo problema del spyaxe y el mensaje diciendo que la computadora esta infectada.



Espero que me puedan ayudar con este caso.

Muchas gracias



-Edil

[msc hotline sat]

Olvidate del HiJackThis: Està limpio



Lo que tienes no es visible en el HJT



Prueba con el ad_aware, en modo avanzado, y arranando siempre en modo seguro y deshabilitando la restauracion de sistema si usas XP



saludos



ms, 7-1-2006

[edil2k]

Deshabilite la restauracion del sistema y volvi a correr todos los programas en Modo Seguro incluyendo Ad-Aware. Cuando vuelvo a entrar vuelve a salir el mensaje de que la computadora esta infectada. Lo unico que se ha arreglado es la pagina de inicio que volvio a la normalidad.



Cuando entre en modo normal y fui a habilitar la restauracion del sistema, ya estaba de esa forma, pero yo nunca lo cambie.

[msc hotline sat]

Hemos localizado una muestra que pide se cargue el SPYAXE para si eliminacion, y cuando la recibamos, monitorizaremos el proceso para ver lo que instala y poderlo deshacer.



Confiamos que con ello lleguemos al fin de la partida, pues estabamos sin pistas, y con lo indicado, el lunes reemprenderemos la lucha que ya ha durado demasiado... Y es que, como en el chiste del loco, en nuestro sector los hay gamberros, pero no tontos !!!



Estate atento a lo que indiquemos con la version del ELISTARA del proximo lunes 9



saludos



ms, 7-1-2006

[edil2k]

OK, muchas gracias por todo.



Esperemos que esto se pueda solucionar antes que me vuelva loco.

[msc hotline sat]

Hasta ahora TODOS los hemos controlado, y llevamos unos 169.000 virus y este estamos a punto de lograrlo, que ya es hora !!! Y es que sin muestra ni ver lo que hace en otras partes del registro, a veces es como buscar una aguja en un pajar... pero con la muestra, exportamos el registro, monitorizamos el proceso, comparamos lo inicial con lo actual, en lo que respecta a claves, carpetas y ficherosm y cemos lo que nos ha hecho y en consecuencia tenemos que deshacer, y luego ya es coser y camtar... pero no cantemos victoria antes de hora...



saludos



ms, 7-1-2006

[edil2k]

Corri la ultima version de Elistara y me sigue saliendo el mismo mensajito de que la computadora esta infectada.



Alguna noticia nueva al respecto??



Gracias,



-Edil

[msc hotline sat]

Posteanos el log de C:\infosat.txt y veremos que ha hecho y obraremos en consecuencia



saludos



ms, 10-1-2006

[edil2k]

Aqui esta la info del InfoStat:





Tue Jan 10 18:48:25 2006

EliStartPage v10.90 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\PROGRAM FILES\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSVCR71.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\SPYAXE\MSVCR71.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSVCP71.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\SPYAXE\MSVCP71.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSITSS.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INFORMATION RETRIEVAL\MSITSS.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Program Files\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{957BAB51-81FF-8195-F273-D7E286EA702F}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 10 18:50:08 2006

EliStartPage v10.90 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Homero\My Documents\My Music\downloads\bitcomet.exe --> AutoExtraible

C:\Program Files\BitComet\uninst.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\50 Cent - Get Rich or Die Trying - Full album - Self-Extracting File.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - A Rush of Blood To The Head\Coldplay - A Rush of Blood to the Head.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - Parachutes\Coldplay - Parachutes.exe --> AutoExtraible

[msc hotline sat]

Supongo que nos has enviado las muestras que se han pedido...



Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSVCR71.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSVCP71.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MSITSS.DLL.Muestra EliStartPage v10.90

a "virus@satinfo.es". Gracias.





Pues con ellas se implementarña su control y eliminacion en la proxima version



Además, ya está en esta web la version 10.91. que hemos potenciado la busqueda de sospechosos de SPYAXE, pruebala, y aparte de las muestras que te pedia la version anterior, que ya no violveran a ser pedidas por haber sido renombradas, envianos las nuevas muestras que se te pidan



Es muy duro de pelar ...



saludos



ms, 11-1-2006

[edil2k]

Acabo de enviarle las muestras que salieron en la corrida de Elistara v10.90.



Ademas corri la v10.92 y envie otra muestra de spyaxe.exe.



Hasta ahora no me ha salido el mensaje de que la computadora esta infectada, pero no estoy 100% seguro de que la computadora este totalmente limpia. Espero que si.



Muchas gracias,



-Edil

[msc hotline sat]

Recuerda que con este bicho es muy importante arrancar en modo seguro para lanzar el ELISTARA o cualquier otra herramienta, pues sino, ni el HJT ve lo que hay...



Y si has enviado muestras, espera la siguiente version y lanzala en dicho modo, y dinos si persisten o no los problemas...





saludos



ms, 12-1-2006

[edil2k]

Verifique ahora y el problema aun esta presente.



Esperemos que desaparezca para la proxima version.

[msc hotline sat]

Pues recuerda:



DEBES TENER ACTUAIZADOS LOS PARCHES DE MICROSOFT . Compruebalo lanzando un windowsupdate!!! (Sino vuelve a entrar al navegar)



DEBES ARRANCAR EN MODO SEGURO PARA DETECTARLO Y ELIMINARLO (Sino esconde el malware y muchas claves relacionadas con él)



Vamos a mirar de implementar en el ELISTARA que esté instalado el parche indicado, y sino lanzar un aviso de advertencia, para que se instale ... Veremos si hoy mismo lo podemos añadir a la nueva version del ELISTARA 10.93



Cualquier comentario al respecto, nos lo indica como respuesta de este Tema, gracias



saludos



ms, 12-1-2006

[edil2k]

He tratado de bajar la ultima version de Elistara (10.93), pero no he podido.



Hay algun problema con la descarga???

[msc hotline sat]

Sí, se degrada el enlace al haber muchas descargas-



Ya he puesto un privadp a ADMIN para que lo restablezca, y si no lo ha visto cuando llegue al despacho, le llamaré por telefono, no le vamos a despertar a estas horas !!!



saludos



ms, 13-1-2006

[msc hotline sat]

Solucionado el problema de descarga



pruebalo ahora



saludos



ms, 13.1.2006

[edil2k]

Aqui la ultima muestra de EliStara:



Fri Jan 13 19:15:14 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\PROGRAM FILES\SPYAXE\SPYAXE.EXE --> Eliminado SpyAxe (anti)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Program Files\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 13 19:16:03 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Homero\My Documents\My Music\downloads\bitcomet.exe --> AutoExtraible

C:\Program Files\BitComet\uninst.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\50 Cent - Get Rich or Die Trying - Full album - Self-Extracting File.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - A Rush of Blood To The Head\Coldplay - A Rush of Blood to the Head.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - Parachutes\Coldplay - Parachutes.exe --> AutoExtraible

C:\RECYCLER\NPROTECT\00035116.EXE --> Eliminado, SpyAxe (anti)

C:\RECYCLER\NPROTECT\00035238.EXE --> Eliminado, SpyAxe (anti)

C:\RECYCLER\NPROTECT\00035332.exe --> Eliminado, SpyAxe (anti)





El problema sigue presente todavia....

[msc hotline sat]

Pues tras haber probado la 10.94 en modo seguro, posteanos el c:\infosat.txt para ver lo que ha encontrado y eliminado...



Con el parche, y en modo seguro, si no lo elimina es que se trata de otra variante, que en modo seguro la veremos con el HJT



Paso a paso, veamos el infosat actual, gracias



saludos



ms, 14-1-2006

[edil2k]

Hola,



Finalmente pude resolver el problema del SpyAxe con este programa:



[color=red]Download the smitRem.exe file from this site http://www.bleepingcomputer.com/forums/topic36868.html

Then boot into safe mode and run the file.



That should take care of it for you.[/color]



Ahora tengo otro problema:



Cuando trato de entrar a mi cuenta de email, banco, tarjeta de credito o a pagar en alguna tienda de internet, la pagina no sale. Pense que era un problema con el internet explorer, asi que baje mozilla firefox. Pero con este browser no sale [b]ninguna[/b] pagina.



No se si fue por que se borro algun registro o algo asi.

Alguna idea de como arreglarlo??



Gracias,



Edil

[msc hotline sat]

pUES POSTEENOS EL C:\INFOSAT.TXT COMO RESPUESTA DE ESTE TEMA



Veremos si puede ser debido a la utilidad empleada que nos ha indicado...



Por si fuera que le hubieran desactivado los Active X, reviselo...



Pero como le hemos indicado, posteenos dicho txt, gracias



saludos



ms, 15-1-2006

[edil2k]

[b]Aqui esta el log file del programa que corri (SmitRem):[/b]



[color=red]

smitRem © log file

version 2.8



by noahdfear





Microsoft Windows XP [Version 5.1.2600]

The current date is: Sat 01/14/2006

The current time is: 10:13:34.82



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



checking for ShudderLTD key



ShudderLTD key not present!



checking for PSGuard.com key





PSGuard.com key not present!





checking for WinHound.com key





WinHound.com key not present!



spyaxe uninstaller NOT present

Winhound uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Existing Pre-run Files





~~~ Program Files ~~~







~~~ Shortcuts ~~~



Install.dat





~~~ Favorites ~~~







~~~ system32 folder ~~~







~~~ Icons in System32 ~~~







~~~ Windows directory ~~~







~~~ Drive root ~~~





~~~ Miscellaneous Files/folders ~~~









~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~







Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 736 'explorer.exe'

Killing PID 736 'explorer.exe'



Starting registry repairs



Deleting files





Remaining Post-run Files





~~~ Program Files ~~~







~~~ Shortcuts ~~~







~~~ Favorites ~~~







~~~ system32 folder ~~~







~~~ Icons in System32 ~~~







~~~ Windows directory ~~~







~~~ Drive root ~~~







~~~ Miscellaneous Files/folders ~~~









~~~ Wininet.dll ~~~



CLEAN! :)[/color]



[b]Aqui esta el log del InfoSat:[/b]





[color=red] Sun Jan 15 10:48:59 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 15 10:49:54 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Homero\My Documents\My Music\downloads\bitcomet.exe --> AutoExtraible

C:\Program Files\BitComet\uninst.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\50 Cent - Get Rich or Die Trying - Full album - Self-Extracting File.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - A Rush of Blood To The Head\Coldplay - A Rush of Blood to the Head.exe --> AutoExtraible

C:\Program Files\BitComet\Downloads\Coldplay - Parachutes\Coldplay - Parachutes.exe --> AutoExtraible[/color]

[msc hotline sat]

Este Infosat es posterior a la ejecucion de la otra utilidad ???



Es que no entendió ño que le deciamos ???



La informacion por tanto no es util al respecto !!!



Proceda según le indicamos y nos informa del resultado, gracias



saludos



ms, 15-1-2006

[edil2k]

Pues no, no entendi ño lo que me dijeron, y todavia no entiendo, pq yo no corri el elistara a la misma vez que el smitrem.



gracias por nada!!

[msc hotline sat]

Efectivamente, el ELISTARA lo ha corrido hoy, seun aoparece en el informe, mientras que el otro ya lo ejecutó ayer segun indica su log, ciando lo primero era ejecutar el ELISTARA, pero bueno, a lo hecho, pecho. Veamos si procediendo con las indicaciones soluciona ahora el problema restante



saludos



ms, 15-1-2006

[msc hotline sat]

Prueba esto, indicado en otro Tema:


[quote]
A mi me pasaba lo mismo y con esto se corrigio.



Haz lo siguientes desde la ventana de ejecutar.

regsvr32 softpub.dll

regsvr32 mssip32.dll

regsvr32 initpki.dll


[/quote]

Y nos comenta el resultado como respuesta de este Tema, gracias



saludos



ms, 16-1-2006