pesttrap (SOLUCIONADO)

[JaviS]

Bueno he estado usando el buscador y no he encontrado nada, hoy al encender el pc, sin ton ni son me ha salido este mensaje en la barra de tareas en una X blanca rodeada de un circulo rojo.



"You computer is infected"



Acto seguido y sin yo tocar nada, surge de la nada un programa llamado pestTrap, el cual yo ni conocia ni e instalado en mi pc, que se pone a analizar mi pc, y me pide una actualzacion para eliminar spyware.



Que tengo que hacer?



Gracias mil por adelantado

[JaviS]

Se me olvido comentar use elistara en modo a prueba de fallos y el problema al principio parace que desiste pero luego regresa, he localizado dos archivos que jamas habia visto en c: los cuales intento eliminar sin poder son estos;



ntnc

wininstall

[msc hotline sat]

Pueden ser spywares



Descarga da ultima version del ELISTARA



(Estamos en la 11.31. pero ya en la 11.30 deciamos: [b]---v11.30-( 8 de Marzo del 2006) (Muestra de SpySheriff "WINSTALL.EXE") [/b]

y el ntnc.exe es propio del SPYAXE, controlado desde hace tiempo por el ELISTARA, pero puede tratarse de una variante no controlada, Si no lo eliminas con ello, dinoslo.



Arranca en modo seguro y lanza el actuial ELISTARA.EXE



Y tras ello nos comentas el resultado y posteas el C:\infosat.txt, gracias



saludos



ms, 10-3-2006

[JaviS]

He hecho todo lo que me has dicho sin conseguir resultado, el mensajito de la barra de tareas sigue saltando cada cinco segundo y los archivos antes citados siguen ahi, y me sigue saltando el programa ese el pestTrap, aqui te dejo el info:



Fri Mar 10 21:52:34 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\DOCUME~1\JAVIS~1\CONFIG~1\TEMP\WINSTALL.EXE.Muestra EliStartPage v11.31

a "virus@satinfo.es". Gracias.

C:\WINSTALL.EXE --> Eliminado

C:\Documents and Settings\Javi´S\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Windows Installer"="C:\winstall.exe"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE



En fin que es lo que debo hacer.



Gracias por adelantado

[msc hotline sat]

Supongo que ya has visto que te pedimos una muestra, por ser sospechosa...



En cuanto la recibamos, la analizaremos y, si procede, implementaremos su control y eliminacion en la proxima version



Asi vamos controlando los 50 que, de promedio, aparecen nuevos cada dia...



saludos



ms, 11-3-2006

[JaviS]

Ya pero que es lo que tengo que hacer no entiendo bien, como os envio la muestra esa que pedis y como saco el archivo para enviarlo.



El mensaje sigue saliendo una y otra vez

[msc hotline sat]

Por esto te pedimos la muestra, para controlarlo !!!



Anexa el fichero a un mail dirigido a la direccion que te indicamos: virus@satinfo.es



saludos



ms, 11-3-2006

[JaviS]

Archivos sospechosos enviados al email que me apuntas.



Permanezco a la espera de instrucciones para eliminarlos.



Muchisimas gracias por la ayuda y la atencion prestada.



Saludos

[msc hotline sat]

En cuanto lleguemos hoy al trabajo, lo examinamos e informamos.



saludos



ms, 13-3-2006

[JaviS]

Ok a la espera quedo .



Mil gracias de nuevo.



Saludos

[msc hotline sat]

Estamos en ello, vemnios que se trata de una variante de lo conocidos, pero que ya eliminamos con la version actual del ELISTARA, aunque pedimos muestra para deteccion por cadenas, al no conocerlo.



Es el que se cuida del icono rojo con una cruz blanca a la derecha de la barra de inicio



En la proxima version del ELISTARA vendrña contemplado



Si te fijas, en el Infosat ya indicabamos haber eliminado u pediamos muestra de la copia para pasar a controlarlo por cadenas


[quote="infosat"]
Fri Mar 10 21:52:34 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\DOCUME~1\JAVIS~1\CONFIG~1\TEMP\WINSTALL.EXE.Muestra EliStartPage v11.31

a "virus@satinfo.es". Gracias.

C:\WINSTALL.EXE --> Eliminado
[/quote]

Informaremos cuando estñe disponible



saludos



ms, 13-3-2006

[JaviS]

En concreto me salen dos X como las que comentas en la barra de tareas una a cada lado de las cuales surge el mensaje cada cuatro o cinco segundos, es extremadamente molesto.



Bien pues doy de nuevo las gracias por la ayuda y quedo a la espera de la nueva version de elistara para eliminarlo.



Pd: Que riesgo conlleva tener este troyano en el ordenador, quiero decir que si corro peligro de que me ocurra algo mientras navego.



Gracias de nuevo

[msc hotline sat]

Tal como le he dicho, el ELISTARA que utilizó ya le eliminó el bicho, aparte de pedirle muestra para control por cadenas, asi que posiblemente sea otro o el mismo regenerado.



Arranca en modo seguro, deshabilita la restauracion de sistema y lanza el ELISTARA que tienes y nos informas, y posteanos de nuevo el C:\infosat.txt



La nueva version detectará el gusano aunue no estubiera en su sitio, pero el que conocemos lo eliminará igual, pero mire lo de arrancar en el modo indicado, que podría ser que estuviera en uso y nmo se dejara eliminar.



saludos



ms, 13-3-2006

[JaviS]

Bien pues he vuelto a repetir el proceso pero el problema persiste, no me lo elimina, y aunque parece que al principio si que consigue eliminarlo al cabo de cinco minutos vuelve a aparecer el mensaje y me salta el programa ese (pesttrap).... ya siento ser tan pesado pero creo que e echo todo segun las instrucciones que me habeis dado y no hay manera.



No obstante el informe es diferente al de otras veces:





Mon Mar 13 19:34:38 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.25.0\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\googlegmail.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\Matroska_Pack_Full_v1.0.3.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\winamp51_full_emusic-7plus.exe --> AutoExtraible

C:\WINDOWS\SYSTEM32\WININET.DLL --> Infectado con ALEMOD (Denegado Acceso Escritura)





Los archivos que comento un poco mas arriba (wininstal y ntnc siguen en el disco duro y no hay manera de eliminarlos)



Siento la insistencia y gracias de nuevo.

[msc hotline sat]

Mejor usa la actual que es la 11.32, descargala y postea de nuevo el C:\INFOSAT.TXT



y esto es un nuevo troyano que no tenias...



C:\WINDOWS\SYSTEM32\WININET.DLL --> Infectado con ALEMOD (Denegado Acceso Escritura)





Mira de pasar el proximo arrancando en modo seguro y dsesactivando la restauracion de sistema, gracias



saludos



ms, 13-3-2006

[JaviS]

bueno pues parece ser que esta vez si que nos lo hemos cargado xD.



Ya no salta el mensajito de las narices y los archivos han desaparecido, no obstante en el infosat todavia me dice que tengo un archivo dañado:



Mon Mar 13 21:48:58 2006

EliStartPage v11.32 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.25.0\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\googlegmail.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\Matroska_Pack_Full_v1.0.3.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\winamp51_full_emusic-7plus.exe --> AutoExtraible

C:\WINDOWS\SYSTEM32\WININET.DLL --> Infectado con ALEMOD (Denegado Acceso Escritura)





Me refiero al ultimo punto ALEMOD, me dice que reinicie el sistema para completar la limpieza, lo hago paso de nuevo el elistara pero me vuelve a decir que reinicie.



Bueno el problema mas grave esta resuelto, un millon de gracias a msc hotline sat por su paciencia.



Saludos

[msc hotline sat]

Sí, este wininet.dll está alterado



Arranque en modo seguro y lance el ELISTARA, a ver si al no estar en uso, el ELISTARA piede repararlo, y tras ello lanza de nuevo el ELISTARA (sin reiniciarf siquiera) a ver si ya lo ha podido hacer y nos informa, gracias



saludos



ms, 14-3-2006

[JaviS]

Bien siguiendo tus instrucciones no he conseguido reparar este fichero he seguido los pasos, pero siempre me pide reiniciar, sin reiniciar he vuelto a pasar el elistara y me ha pedido reiniciar de nuevo sin reparar el archivos, aki esta el infosat.





OPS¡¡¡¡ Edito el post, el spysherif a vuelto a salir¡¡¡¡ Ayer parecia que lo habia eliminado pero ha sido publicar este mensaje y ha reaparecido de nuevo, no se que estare haciando mal pero ahi esta de nuevo, que puedo hacer????



Siento las molestias de veras, pero creanme que yo hago lo que me dicen al pie de la letra, pero ha vuelto a aparecer.

Tue Mar 14 12:49:30 2006

EliStartPage v11.32 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.25.0\UninstallGmail.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\googlegmail.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\Matroska_Pack_Full_v1.0.3.exe --> AutoExtraible

C:\Documents and Settings\Javi´S\Mis documentos\Nueva carpeta\winamp51_full_emusic-7plus.exe --> AutoExtraible

C:\WINDOWS\SYSTEM32\WININET.DLL --> Infectado con ALEMOD (Denegado Acceso Escritura)



Saludos

[msc hotline sat]

Pues lanza de nuevo el ELISTARA, en modo seguro, y luego consigue un wininet.dll de otro ordenador con iogual sistema operativo y arrancandop en modo seguro se lo copias a este, sobreescribiendo el que hay.



Es posible que por existir el malo, la conexion a internet te decargue el bicho cuando navegas



El wininet controla los accesos y descargas



saludos



ms, 14-3-2006

[JaviS]

Algo de eso tiene que ser porque ayer por la noche cuando limpie el ordenador lo desconecte de internet y el gusano no volvio a surgir hasta esta mañana que lo conecte.



Provare a ver, gracias de nuevo.

[msc hotline sat]

Sobre todo implementa un wininet.dll bueno !!!



saludos



ms, 14-3-2006

[JaviS]

he arrancado en modo seguro con la restauracion del sistema desactivada pero no me deja sustituir la dll por otra, me dice que esta siendo usada por otro programa

[msc hotline sat]

No parece que debiera estar en uso pero si lo está, no tendremos mas renmedio que arrancar con el CDROM de instalacion y a la primera pregunta, pulsar R para entrar en consola de recuperacion, y desde DOS copiar el fichero, que no estará en uso (o eso creo...) al no arrancar desde el disco duro



Si tiene el fichero copiado en un disquete, tras arrancar, lo coloca en A: y entra:



COPY A:\WININET.DLL C:\WINDOWS\SYSTEM.32 <enter>



y aceptar sobreecribir el fichero existente.



Espero que no tendrá problemas de esta forma.



saludos



ms, 15-4-2006

[JaviS]

Bien llegados a este punto creo que voy a optar por la opcion mas complicada pero mas eficaz que es la del formateo, no encuentro un pc con una dll de la misma version que el mio y al pegarla en la carpeta me dice que la version de esa dll no es compatible con mi version de xp.



Entonces para yo dejarme de quebraderos de cabeza y sobre todo para dejar de dar la bara a msc, pues formateo el equipo y santas pascuas.



Pues nada mil gracias a msc por su paciencia y sus respuestas, puedes cerrar el hilo cuando gustes.



Saludos y gracias de nuevo

[msc hotline sat]

Lo que decidas estará bien hecho, pero este fichero es de sistema, asi que si tienes problemas en encontrar el de tu version, puedes repoarar EL SISTEMA, LO CUAL SERÁ MUCHO MAS FACIL, AL NO PERDER LAS APLICACIONES INSTALADAS



Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



A tu criterio



saludos



ms, 15-3-2006

[JaviS]

Pensadolo bien, no me venia mal un formateo, pues hace casi dos años y medio que hice el ultimo asi que ya que me pongo lo formateare, menos mal que los reyes me trajeron un disco duro externo de 200 gb :lol:



Aprovecho para dar las gracias a msc y a todos los responsables de esta pagina por la ayuda que prestais a los internautas, vuestra actitud es digna de admiracion.



Gracias de nuevo.



Saludos

[msc hotline sat]

Pues muchas gracias por tus palabras y damos por solucionado el Tema, y en consecuencia procedemos a cerrarlo.



Si nos necesitas ya sabes donde estamos



saludos



ms, 15-3-2006