Eliminar spyware

seth · Mensaje por **seth** » 20 Nov 2006, 09:57

Hola,

Este es mi primer post en el foro, asi que saludos a todos.

El problema es que a un usuario de mi red le aparece cada cierto tiempo una alerta en italiano, esto es porque debe haber instalado alguna clase de spyware navegando con el IE (donde este firefox ...). La cuestion es que en C:\Windows\Temp\ se crean una serie de archivos idd685.tmp y win684.exe.tmp (la numeracion varia) que hace que salten estas alertas. Eliminarlos no funciona ya que se vuelven a ejecutar (malditos roedores).

He probado con el Spybot y Hijackthis pero no consigo nada util.

Estoy buscando alguna informacion por internet pero aun no he encontrado nada interesante.
Me podeis echar un cable?

Salu2

Mensaje por **msc hotline sat** » 20 Nov 2006, 10:09

Si tiene el log del HJT. copioenos su contenido en su proximo post, pues en él veremos lo que le importuna

saludos

ms, 20-11-2006

seth · Mensaje por **seth** » 20 Nov 2006, 11:32

Hola,

Este es el log del HJT pasado esta mañana tras intentar un par de cosillas nuevas:

-------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:16:54, on 20/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\Documents and Settings\cgonzalez.MCAT05\Escritorio\Admin\Spyware\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = orensemadcat.es
O17 - HKLM\Software\..\Telephony: DomainName = orensemadcat.es
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = orensemadcat.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = orensemadcat.es
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Archivos de programa\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)

Siguen creandose archivos win1.tmp (la numeracion cambia de forma creciente) en C:\Windows\Temp. Ademas veo que ahora hay una carpeta en esa misma ruta con nombre \nsh2A.tmp en donde hay un archivo DetectionProcessus.dll.

Alguien sabe que es todo esto?

Gracias

Mensaje por **msc hotline sat** » 20 Nov 2006, 12:26

Lo peor del caso es la falta de parches:

Le faltan todos los del SP2 y posteriores...Lance un windowsupdate y actualicelos

Tras ello cuentenos el resultado, gracias

saludos

ms.20-11-2006

seth · Mensaje por **seth** » 21 Nov 2006, 10:35

Hola,

Lo que tengo instalado que me da guerra es Smitfraud-C Toolbar888.

He actualizado el equipo, pasado el Spyware S&D, el DiskCleaner y al pasar el HJT este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 10:21:00, on 21/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wpabaln.exe
C:\Archivos de programa\Archivos comunes\{4818967B-0BC6-3082-0909-040301050022}\Update.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\win45.tmp.exe
C:\Documents and Settings\cgonzalez.MCAT05\Escritorio\Admin\Spyware\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Proyectos/Inicio.htm
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxaf.dll,startup
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = orensemadcat.es
O17 - HKLM\Software\..\Telephony: DomainName = orensemadcat.es
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = orensemadcat.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = orensemadcat.es
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Archivos de programa\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)

Gracias por la ayuda.

Salu2

Mensaje por **msc hotline sat** » 21 Nov 2006, 11:50

Pues pruebe el ELISTARA:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y envíenos este fichero que no conocemos (parece nombre aleatorio) para analizar:
C:\WINDOWS\system32\drvxaf.dll

recuerde: viewtopic.php?f=2&t=45334

saludos
ms, 21-11-2006

seth · Mensaje por **seth** » 22 Nov 2006, 11:09

Hola,

Copio el log que ha generado el software que me indicas, Elistara. El archivo de muestra que pide ya lo he enviado esta mañana para su exploracion.

Gracias por la ayuda.
Salu2

-------------------------------------------------------------

Tue Nov 21 12:15:13 2006
EliStartPage v12.75 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\EFCYWVV] -> C:\WINDOWS\SYSTEM32\EFCYWVV.DLL
[WinLogon\Notify\GEBYW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\GEBYW.DLL
 a "virus@satinfo.es". Gracias.
Key Eliminada [WinLogon\Notify\WINBJS32] -> C:\WINDOWS\SYSTEM32\WINBJS32.DLL
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado 
C:\WINDOWS\SYSTEM32\EFCYWVV.DLL --> DownLoader.ConHook (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\EFCYWVV.DLL --> DownLoader.ConHook (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\WINBJS32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR
Eliminada Class, "{39F25B12-74FF-4079-A51F-1D70F5B08B84}" -> C:\WINDOWS\System32\ixt0.dll
Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\System32\efcywvv.dll
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Nov 21 12:17:42 2006
EliStartPage v12.75  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\CA\AllFusion ERwin Data Modeler\RTBUTILERWIN.DLL --> Eliminado, NewDotNet Uninst
C:\Archivos de programa\OpenOffice.org 2.0\program\CANVASFACTORY.UNO.DLL --> Eliminado, SaveNow
C:\Archivos de programa\PSPad\NOTEPAD.EXE --> Eliminado, DownLoader.Vixup
C:\software\para ver imagenio\VLC-0.8.2-WIN32.EXE --> AutoExtraible
C:\WINDOWS\system32\CFLTYGD.DLL --> Eliminado, FakeAlert
C:\WINDOWS\system32\DDCYWUV.DLL --> Eliminado, DownLoader.ConHook (notify)
C:\WINDOWS\system32\ISHOST---.EXE --> Eliminado, Puper
C:\WINDOWS\system32\ISSEARCH----.EXE --> Eliminado, Puper-Is
C:\WINDOWS\system32\JKKLJJK.DLL --> Eliminado, DownLoader.ConHook (notify)
C:\WINDOWS\system32\NNNMLIH.DLL --> Eliminado, DownLoader.ConHook (notify)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Wed Nov 22 08:20:43 2006
EliStartPage v12.75  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\EFCYWVV] -> C:\WINDOWS\SYSTEM32\EFCYWVV.DLL
[WinLogon\Notify\GEBYW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\GEBYW.DLL
 a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\EFCYWVV.DLL --> DownLoader.ConHook (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\EFCYWVV.DLL --> DownLoader.ConHook (notify) Acceso Denegado.
Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\system32\efcywvv.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Nov 22 09:08:42 2006
EliStartPage v12.75  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\software\para ver imagenio\VLC-0.8.2-WIN32.EXE --> AutoExtraible
C:\WINDOWS\system32\GEBBYXU.DLL.VIR --> Eliminado, DownLoader.ConHook (notify)
C:\WINDOWS\system32\PCTKFYZ.DLL.VIR --> Eliminado, ClickSpring (BHO)
C:\WINDOWS\system32\WINBJS32.DLL.VIR.VIR --> Eliminado, BackDoor-CVT (notify)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mensaje por **msc hotline sat** » 22 Nov 2006, 12:01

Recibida muestra, corresponde a una nueva variante de VUNDO

Pasamos a controlarlo con la nuieva version del ELISTARA de hoy

saludos
ms, 22-11-2006