Troyano win32.Small.apk Detectado por Kasp. Cómo eliminarlo

[pz_blanca]

Escribo desde otro ordenador, ya que el mío está totalmente bloqueado por el Trojan-Dropper.Win32.Small.apk No consigo eliminarlo con Kaspersky. El ordenador va muy muy lento (casi no se mueve); Window XP no accede a ningún programa (dice que no tiene permiso o ha cambiado el nombre del programa). El antivirus tarda 3 días en "desinfestar", pero no desinfecta: siempre vuelta a lo mismo, reiniciar y otros tres días desinfestando... y ya van 5 detectados con el mismo nombre si neliminar ninguno.



Hay alguien que sepa cómo puedo eliminar este troyano a mano, o directamente tiro el ordenador por la ventana?

Agradecería me constestaran antes del 9 de noviembre, fecha en que expira mi licencia de antivirus Kaspersky. Si para entonces no lo he resuelto, directamente lo lanzo desde la segunda planta; por lo menos le hincho las narices al bicho.



Saludos, Paz

[SuR]

Pues prueba a nada mas encender el ordenador pisar la tecla f8 y arrancar windows en modo seguro. Para que el troyano no actue aun mas desconectate de la red mientras trabajas en tu ordenador. Cuando ya estes en el modo seguro desinfecctalo con el kaspersky si te dice que a sido imposible desinfectarlo lo eliminas. Cuando estes seguro de que estas libre de virus o troyanos arrancas windows en modo normal. Te recomiendo que instales un firewall para dificultar que algun troyano haga lo que a echo en tu ordenador. Si el antivirus sigue sin hacer nada busca info sobre el troyano para saber donde se aloja aunque generalmente lo hace en c:/WINDOWS Espero haberte ayudado.

[Nuker]

Bueno si no te deja intenta lo que dice sur para que puedas acceder, intenta pasandole este programa :



ELISTARA : http://www.zonavirus.com/descargas/elistara.asp



y te pegas el log aqui el que dice infosat.txt, te va a salir en unidad c. A ver si te pudiera eliminar algo.



Bajate el HijackThis haces un escaneo le picas al boton que dice scan and save log y pegas el log aqui. Para ver problemas con pc. http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



y luego te haces un chequeo con un antivirus online.

[msc hotline sat]

Por si acaso podría ir posteando el log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 26-10-2006

[pz_blanca]

Gracias a todos por contestar a mi mensaje.



Sur, he hecho lo que me indicabas: pasar el kaspersky a modo seguro pulsando f8; ha terminado el escaneo y dice (el mu desgraciao) que no ha encontrado "amenaza" ninguna. Yo soy incapataz de saber qué hacer.



Si se os ocurre alguna otra idea, por favor, decímela, a ver si consigo eliminar el dichoso troyano.



Saludos. Paz

[koga]

Descargue las siguientes utilidades y las ejecuta en modo seguro:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Una vez terminado el escaneo reinicia y nos postea el contenido del archivo C:/INfosat.txt como respuesta a este tema,







Saludos.

[msc hotline sat]

Y se le pedia posteara el log del HJT...



ms,

[pz_blanca]

Hola a todos.

Estoy intentando hacer lo que me habéis recomendado. Ya he conseguido que el ordenador me deje bajar algo (el ordenador chungo, claro).

De momento he bajado el HijackThis éste. Irté por pasos a ver si me deja.

[pz_blanca]

No veo el fichero adjunto.

Lo intento de nuevo.

Saludos.

Lo he intentado 4 veces y siempre me dice que no se ha adjuntado ningún archivo. Algo no me deja.

Copio el log a trozos aquí.

Logfile of HijackThis v1.99.1

Scan saved at 1:18:20, on 28/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\OvisLink\OCU.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\Carmen\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: Class - {F995B41E-CBE3-A866-782E-8D6294DA3DEA} - C:\Archivos de programa\LinkOptimizer\LinkOptimizer.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [vlansys] C:\WINDOWS\system32\vlansys.exe

O4 - HKLM\..\Run: [StatusClient 2.6] C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [OCU] "C:\Archivos de programa\OvisLink\OCU.exe" -nogui

O4 - HKLM\..\Run: [msnmsgrs] C:\WINDOWS\antivirus2006.scr

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\RunServices: [vlansys] C:\WINDOWS\system32\vlansys.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [vlansys] C:\WINDOWS\system32\vlansys.exe

O4 - HKCU\..\RunServices: [vlansys] C:\WINDOWS\system32\vlansys.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.uoc.edu

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105w.bay105.mail.live.com/mail/resources/MsnPUpld.cab

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: OvisLink Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Aquí termina.

Ahora voy a haré lo que me indicáis a continuación.

Saludos otra vez,

Paz

[pz_blanca]

Hola de nuevo.



Ya he hecho los deberes y aquí está el resultado de c:/Infosat.txt.

Por si sirve de algo, cuando he reiniciado me vuelve a avisar kaspersky de este troyano y otro más; sile digo que elimine, enteonces me bloquea el ordenador, por loque he tenido que dar a ignorar para poder enviaros este fichero.

Saludos y ya me contaréis qué hago, si es que se puede hacer algo más.



Gracias a todos.





Sat Oct 28 01:50:59 2006

EliStartPage v12.60 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{46ECDBEA-47BA-4A9F-B3FB-14825C3207B0}" -> C:\WINDOWS\system32:moaa.dll



Sat Oct 28 02:09:20 2006

EliStartPage v12.60 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 28 02:17:21 2006

EliStartPage v12.60 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Carmen\Escritorio\Copia Mari Paz\M Paz\PAZ GONZALEZ BLANCA\Escritorio\Mis documentos\Carpetas previas\Programas\WSQ2INSTALL.EXE --> Eliminado, Guiños(msn)

C:\mIRC\IRCAP-82.EXE --> AutoExtraible

C:\WINDOWS\system32\LTFIL13N.DLL --> Eliminado, WinAd



Sat Oct 28 02:23:36 2006

EliTriIP v2.67 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

[msc hotline sat]

Pues de entrada se han detectado adwares, que ya se han eliminado, y se le avisa de la falta de parches de microsoft... Lance un windowsupdate !!!



Sin los parches de poco serviría lo que hicieramos !



Paso a analizar el HJT:



Enviar estas muestras `para analizar:



C:\WINDOWS\system32\ntos.exe



C:\WINDOWS\system32\vlansys.exe



C:\WINDOWS\antivirus2006.scr



C:\Archivos de programa\OvisLink\OCU.exe







Eliminar estas claves:



R3 - Default URLSearchHook is missing



O2 - BHO: Class - {F995B41E-CBE3-A866-782E-8D6294DA3DEA} - C:\Archivos de programa\LinkOptimizer\LinkOptimizer.dll (file missing)





recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 28-10-2006

[pz_blanca]

Buenas a todos.

A MSC Holine Sat, he hecho lo que me indicabas, con alguna escepción que te comento: el fichero R3-Default URLSearchHock is missing, una vez lanzado el HJT, no aparece; sí el otro que me indicas y ya lo he eliminado.



Antes de hacer esto, he actualizado el WindosUpdate como me decías.



Ahora ya no sé qué hacer. De momento apago el ordenador por si acaso y sigo con este más antiguo pero sin bichos.



Espero que me digas qué hacer.



Saludos.



Paz

[msc hotline sat]

Pues envianos las muestras que te pedimos y las analizaremos



Si quieres, mientras, las renombras a .VIR y asi en el proximo reinicio no seran puestas en uso, y en fincion del resultado del analisis se pueden volver a renombrar o no!



saludos



ms, 2-11-2006

[msc hotline sat]

No nos ha enviado los ficheros que le pediamos:



Pediamos el C:\WINDOWS\system32\ntos.exe



nos ha enviado el NTOSKRNL.EXE ... no es lo mismo !!!





C:\WINDOWS\system32\vlansys.exe ha< enviado un VLANSYS.TLB ... que es libreria de BORLAND, pero ademas de 2 bytes !!!





C:\WINDOWS\antivirus2006.scr ... no nos lo ha enviado !!!





C:\Archivos de programa\OvisLink\OCU.exe recibido y analizado no tiene rutinas viricas



Los demas mire de localizar los pedidos y nos los envia, gracias



recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 3-11-2006

[pz_blanca]

Hola de nuevo.

Sigo intentando desinfectar mi ordenador, pero no consigo encontrar los archivos que me pides. He seguido las instrucciones para ver archivos ocultos y sus extensiones, pero aún así no aparecen los archivos:



c:\Windows\Systen32\ntos.exe (no aparece ni lo encuentra el buscador en archivos y carpetas)

Tampoco c:\Windows\Systen32\vlansys.exe, ni c:\Windows\antivirus2006.scr



Ni siquiera aparecen los mismos archivos con otra extención.



Tengo instalado el spybot. Crees que sea posible que este programa los haya eliminado?



En este ordenador, el kaspersky caduca el día 9 de noviembre, y al otro (el infectado) le quedan 15 días. Aún después de actualizar la Windows update, sigue sin funcionar el fireware.

Por favor, dime qué hago ahora. El ordenador da cada vez más señales de infección con otros nombres de troyanos.



Saludos,

Paz.