AdWare.MediaBack.c // Trojan-Clicker.VB.dn (SOLUCIONADO)

[San_Medir]

Hace unos días salió una alerta en spybot diciendo que había sido modificado y aconsejaba pasar el antivirus. Lo hice pero no detectó nada, probé pasar la herramienta elistara y tampoco detectó nada. Kaspersky online me ha detectado los problemas que especifico en el topic. He probado pasar el antispyware de Trend Micro y tampoco ha detectado nada. Por último he escaneado el fichero ntsd.32.exe (el que kaspersky me ha detectado como infectado) a través de Virus Total y ha sacado a la luz el siguiente log:



ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "ntsd32.exe" que VirusTotal ha recibido el día 10.06.2006 a las 13:20:47 (CET).



Antivirus Version Actualización Resultado

AntiVir 6.35.0.10 10.06.2006 no ha encontrado virus

Authentium 4.93.8 09.06.2006 no ha encontrado virus

Avast 4.7.844.0 09.06.2006 no ha encontrado virus

AVG 386 09.06.2006 no ha encontrado virus

[b]BitDefender 7.2 10.06.2006 Dropped:Adware.Splnet.A [/b]

CAT-QuickHeal 8.00 09.06.2006 no ha encontrado virus

ClamAV devel-20060426 09.06.2006 no ha encontrado virus

[b]DrWeb 4.33 10.06.2006 Trojan.Click.720[/b]

eTrust-InoculateIT 23.72.33 10.06.2006 no ha encontrado virus

eTrust-Vet 12.6.2250 09.06.2006 no ha encontrado virus

Ewido 3.5 10.06.2006 no ha encontrado virus

Fortinet 2.77.0.0 09.06.2006 no ha encontrado virus

F-Prot 3.16f 09.06.2006 no ha encontrado virus

Ikarus 0.2.65.0 09.06.2006 no ha encontrado virus

[b]Kaspersky 4.0.2.24 10.06.2006 not-a-virus:AdWare.Win32.MediaBack.c [/b]

McAfee 4781 09.06.2006 no ha encontrado virus

Microsoft 1.1441 10.06.2006 no ha encontrado virus

[b]NOD32v2 1.1591 10.06.2006 Win32/TrojanClicker.VB.DN

Norman 5.90.21 09.06.2006 W32/MediaBack.C.dropper [/b]

Panda 9.0.0.4 09.06.2006 no ha encontrado virus

Sophos 4.06.0 10.06.2006 no ha encontrado virus

Symantec 8.0 10.06.2006 no ha encontrado virus

[b]TheHacker 5.9.8.157 10.06.2006 Trojan/Clicker.VB.gs [/b]

UNA 1.83 09.06.2006 no ha encontrado virus

VBA32 3.11.0 09.06.2006 no ha encontrado virus



Además pego el log de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 13:37:17, on 10/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\FireSvc.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\FireTray.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Program Files\mIRC\mirc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\usuario\Mis documentos\Software\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [McAfeeFireTray] C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\Firetray.exe

O4 - HKCU\..\Run: [EPSON Stylus C40 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /A "C:\WINDOWS\system32\E_S11F.tmp"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\FireSvc.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe



¿Cómo puedo limpiarlo?

Gracias.

[msc hotline sat]

Si con la ultima version el ELISTARA no detecta este adware no pide muestra, envianos este fichero ntsd32.exe a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques referencia "REF ntsd32" y tras analizarlo, implementaremos su control en la proxima version del ELISTARA



saludos



ms, 10-6-2006

[San_Medir]

Tengo un problema para reiniciar a prueba de fallos. Con F8 me sale el gestor de s.o. de ubuntu, y cuando elijo iniciar windows ya se ejecuta normalmente, por eso creo que Elistara no detectó nada en su momento. No me había dado cuenta de este problema hasta ahora, no había necesitado ejecutar a prueba de fallos.



De todas formas me lo han solucionado "in situ". Lamento no haber visto antes esta respuesta para poder enviar la muestra (que siempre ayuda a la investigación).



De cualquier forma gracias otra vez por la ayuda y mis felicitaciones por el trabajo que haceis con el foro.

[msc hotline sat]

Pues nos alegramos que se haya arreglado y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 11-6-2006