Ayuda con el favorite man

[kyto_1_90]

BUeno, no se bien cual sera el problema,pero tengo en la maquina instalado el symatec, y cada vez que escaneo la PC, me detecta el virus FavoriteMan, y dice algo asi:

Threat: Adware.FavoriteMan

Action taken: Left alone

Action description: The file was left unchanged.

Status: Infected

El virus queda guardado como: 19odhr0b.exe

El tema es que al parecer el virus no lo borra y siempre queda en la maquina, porque cada ves que corro el antivirus lo detecta.

Por ahora creo que no le ocasionó ningun daño o problema a la PC o todavía no lo note. Yo quería saber si ustedes saben como solucionar este problema, como borrarlo de la maquina.

Desde ya, muchas gracias.

Franco

[msc hotline sat]

Se trata de un adware.



Sigue las instrucciones del tutorial antispyware:



https://foros.zonavirus.com/tutorial-antispyware-utilidades-y-metodo-de-eliminacion-vt4795.html



Los antivirus pueden detectar pero no eliminan muchos de ellos, al no ser virus sino troyanos



Si tienes algun problema en lo indicado, envianos el fichero y analizariamos la causa





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



En cualquier caso, comentanos el resultado, gracias



saludos



ms, 25-8-2006

[kyto_1_90]

Hola, mientras trataba de sacar el virus este se me metieron 3 mas de Spysheriff, pero por suerte los pude sacar, pero el que les habia comentado antes no puede (el favorite man). Segui los pasos y lo analize con el Ad-aware en modo a prueba de fallos, pero luego corri el antivirus y sigue infectado el sistema.

Aqui les dejo el log que me lanzo el HijackThis, voy a analizar el sistema con otro anti adware (el spybot) y les comento los resultados.

Creo que mi sistema esta afecatado por otro virus tambein por que hay algunos procesos que antes no se ejecutaban y ahora aparecieron con la llegada de los adware.sheriff, que al parecer los pude eliminar.

Aca les dejo el log:

Logfile of HijackThis v1.99.1

Scan saved at 13:59:24, on 27/08/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\RunDll32.exe

C:\WINNT\system32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\winnt\system32\stonedrv.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Archivos de programa\HJT\HijackThis.exe

C:\WINNT\system32\NOTEPAD.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe

O4 - HKLM\..\RunServices: [stonedrv] c:\winnt\system32\stonedrv.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKCU\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{81D02DEE-584F-472E-87C0-899D0CB55CD0}: NameServer = 200.69.193.1 200.69.193.2

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)

[msc hotline sat]

El SPY SHERIFF debe elimarse con el ELISTARA:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y voy a ver el log del HJT, si bien se recuerda que ello es solo para eliminar restos cuando ya se han eliminado los malwares o para el descubrimiento de nuevos...



https://foros.zonavirus.com/viewtopic.php?f=13&t=5148





en proceso ...

[msc hotline sat]

De entrada lanza el ELISTARA:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y envianos una muestra de este sospechoso:



C:\winnt\system32\stonedrv.exe



imformacion:

http://www.sophos.com/security/analyses/trojcosiamk.html





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





y si no le lo elimina el ELISTARA, tambien de este:



C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"





y elimina estas claves:





O4 - HKLM\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe



O4 - HKLM\..\RunServices: [stonedrv] c:\winnt\system32\stonedrv.exe



O4 - HKCU\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe



O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)





recuerda:



ELIMINACION DE CLAVES CON HJT





Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:





Otras claves como las del about:blank y demas ya las eliminará el ELISTARA



y tras ello nos cuenta el resultado, gracias



saludos



ms, 27-8-2006





Si tiene que decirnos algo , hagalo posteandonos el contenido de c:\infosat.txt para ver el proceso ya realizado. ms.

[kyto_1_90]

¿La muestra del archivo la mando zipueada?

Otras mas: "REF %NICK FORERO%", ¿yo tendría que escribir "REF rojo_1_90"?

Ya averigado esto paso a mandarles la muestra del archivo, y despues paso el ELISTARA.

Otra cosa, pase el Spy Bot y me borro varios espias que tenía en la maquina, pero igue sin borrar el stonedvr.exe y el favoriteman

Muchas gracias, ahora les mando la muestra, paso el programa y les comento los resultados.

KyTo

[kyto_1_90]

Corrijo esto:

Otras mas: "REF %NICK FORERO%", ¿yo tendría que escribir "REF rojo_1_90"?

Por esto:

¿yo tendria que poner "REF kyto_1_90"?

Muchas gracias, disculpen las molestias

[kyto_1_90]

Hola, soy yo otra vez, pase en modo a prueba de fallos el spybot, el adware y el ELISTARA, en ese orden, y eliminaron de todo, e incluso el el spy sheriff y stone.drv; pero corri el symantec y sigue estando el favorite man.

Esto es loq eu me lanza el Symantec:



Scan type: Manual Scan

Event: Threat Found!

Threat: Adware.FavoriteMan

File: C:\WINNT\system32\19odhr0b.exe

Location: C:\WINNT\system32

Computer: FRANCO

User: Franco Ricardo

Action taken: Leave Alone succeeded

Date found: domingo, 27 de agosto de 2006 19:23:24



Este es el log que me dejo el HijackThis despues de haber escaneado con todos los adwares y anti espias:



Logfile of HijackThis v1.99.1

Scan saved at 19:21:36, on 27/08/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\RunDll32.exe

C:\WINNT\system32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)



Espero que esta info les sirva y que puedan ayudarme.

Desde ya, y otra vez, muchisimas gracias.

Franco

[msc hotline sat]

Ya que lo preguntas, mejor zipeada y con password VIRUS



Sobre la referencia, en tu caso "REF kyto_1_90"



y envianos tambien muestra de este, que podria ser mas de lo mismo



C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe



saludos



ms, 28-8-2006

[kyto_1_90]

Hola, ya mande el mail con los dos archivos adjuntos y zipeados.

El stone drv.exe dejod e ejecutarse el proceso, pero no lo borró, pero ya no tengo mas adwares, ni virus, etc. al parecer.

El unico que queda es el FavoriteMan, que arriba les deje un Hijackthis de la maquina mía despues de haber borrado todos menos el favorite man, que no pude hacerlo. Por favor si encuentran una solucion para borrarlo avisenme.

Muchas gracias

Franco

[msc hotline sat]

Entendemos que el favoritwe nan fue renombrado a 19odhr0b.exe y ya no entra en proceso, pues no aparece en el log del HJT



Asi mismo el stonedrv.exe ya lo eliminamos y a no debe incordiar



Si nos ha enviado muestra de los dos ficheros. se implementarña su control y eliminacion el una de la proximas versiuones del ELISTARA que a Vd le servirña para eliminar restos, pero los adwares ya los tiene fuera de circulacion



Estamos separando de kis mails cientos de muestras recibidas, analizando segun importancia y entre esta semana y la que viene confiamos las tendremos todas procesadas y estaremos al dia ...



saludos



ms, 29-8-2006

[msc hotline sat]

Ya disponible nueva version de ELISTARA 12.25 para control y eliminacion de malware segun muestra enviada



---v12.25-(30 de Agosto del 2006) (Muestras de (4)Puper "DFRGSRV.EXE, ISHOST.EXE, ISMON.EXE y IXT*.DLL", Proxy-Raser "STONEDRV.EXE", (2)ZangoSA "ZANGO.EXE y ZANGOHOOK.DLL", Hotbar "HBTHOSTIE.DLL", (3)PWS-JA "IBM00***.EXE y DLL", Vundo(notify) y (2)BackDoor-CVT "WIN***32.DLL")



Ya puede probarla y comentarnos el resultado, gracias



saludos



ms, 30-8-2006