TRJ / Spammer.BL (SOLUCIONADO)

[Nod7]

Holas



Primero presentarme ya que es mi primer post.



El problema consiste en que desde ayer cada vez que enciendo el ordenador, se despliega la ventanita del Panda antivirus, indicando que se ha eliminado el virus - trj/spammer.bl - le doy a cerrar, y todo bien, incluso si luego lanzo nuevamente el Panda e incluso el Ad-aware-Spyware, no encuentran nada.



Pero... al siguiente encendido o reinicio del pc,pues otra vez ventanita de aviso de Panda al canto, y ya me tiene mosqueado.



He seguido la indicación que da Panda en su página para su eliminación definitiva, habla de una información que está guardada por el S.O. XP,en una carpeta _RESTORE, a la cual Panda no tiene acceso y por eso cada vez recupera esa información.



Lo cierto es que la solución que da, consistente en desde MiPC --> Propiedades --> Desactivar y luego volver a activar las 'restauraciones del sistema', no ha dado resultado.



Si alguien de ustedes conoce alguna solución al tema y me la quiere comentar se lo agradezco..



Tengo XP con service pack2 + las actualizaciones al día



Un saludo

Nod7

[koga]

Pues bienvenido al foro.



Le recomiendo descargue la siguiente utilidad y la ejecute en modo seguro y desactivando la restauracion del sistema:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Luego reinicia el ordenador y nos postea el contenido del archivo C:/Infosat.txt como respuesta al tema para analizar el proceso.



Nos comenta como le fue.



Saludos.

[msc hotline sat]

Ademas de desactivar la restauracion de sistema, debe arrancar en modo seguro para eliminarlo con el Panda



Si asi no lo logra y el ELISTARA no lo conoce (a no ser que sea el que conocemos como BOOTSPAM) entonces pediremos que nos postee un log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 11-10-2006

[Nod7]

Hola



Antetodo gracias por sus rápidas respuestas.



Bien, he seguido las indicaciones del primer post de respuesta, con los siguientes pasos :



1) Desactivado el modo 'restauraciones de sistema'

2) Arrancado el modo seguro y como administrador

3) Ejecutada la utilidad ' ElistarA 12.51'

3) Arrancado normalmente

4) He ido para restaurar de nuevo las restauraciones de sistema, pero ya estaban otra vez activas.. ?



- Desgraciadamente al arrancar en el paso 4 el Panda a vuelto a mostrar el dichoso aviso...



El contenido del fichero de texto Infosat es:



"



Wed Oct 11 19:10:07 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 11 19:12:46 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Mis Utilidades\Unlocker_de ficheros\UNLOCKER1.8.4.EXE --> AutoExtraible

"



Nota: En un momento dado ha aparecido un mensaje diciendo:

Acceso denegado a carpeta C:\Documents and Settings\Gabriel(16)



Esta carpeta la he buscado luego con el explorador de windows sin exito, al menos con ese 16 entre paréntesis.



Bien la imágen que aparece cada vez que arranco el pc es esta:

(el número 48 va cambiando....cada arranque)



*

[img]http://www.subir-imagenes.com/imagenes-fotos-subir/5e298cf133.jpg[/img]



Saludos y agradecido por vuesta atención



8)

[msc hotline sat]

Pues posteanos log del HJT conforme indicado y lo analizaremos



saludos



ms, 11-10-2006

[Nod7]

Hola



Este es el contenido del log



"

Logfile of HijackThis v1.99.1

Scan saved at 20:07:51, on 11/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\WINDOWS\zHotkey.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Archivos de programa\Archivos comunes\New Boundary\PrismXL\PRISMXL.SYS

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\Twain_32\USB2.0Camera\SnapTrap.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Digital Media Reader\shwiconem.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [STICAP] C:\WINDOWS\Twain_32\USB2.0Camera\SnapTrap.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [SunKistEM] C:\Archivos de programa\Digital Media Reader\shwiconem.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [L06EXLRD_742468] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Archivos de programa\Archivos comunes\New Boundary\PrismXL\PRISMXL.SYS

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



"



Saludos

[msc hotline sat]

Lo que de entrada se ve a simple vista es que tienes un PUPER galopando!, y como que es un downloader, es posible que te descargue el troyano cada vez que arrancas, y como que cada dia hay de nuevos de esta familia, (controlanmos mas de 100 actualmente y continuamente se reciben nuevas muestras) es posible que el Panda no lo conozca



Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 13-10-2006

[Nod7]

Holas



Gracias



Bien, acabo de lanzarlo y este es el fichero InfoSat.txt que ha generado :



"



Sun Oct 15 20:13:59 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 15 20:17:18 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 15 20:19:54 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Mis Utilidades\Unlocker_de ficheros\UNLOCKER1.8.4.EXE --> AutoExtraible



"



Por cierto que es un PUPER ???



Gracias por su atención ..



Salut - Nod7

[msc hotline sat]

Me despisté, I'm sorry !



RIZALOF ---BD.CMQ----smss.exe---ELITRIIP



el PUPER es una familia de downloaders muy prolifica y del que cada dia tenemos nuevas variantes, pero si acababa de pasar el ELISTARA no habia lugar...



Es el Backdoor CMQ que controlamos con el ELITRIIP, pruebalo:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-10-2006

[Nod7]

Hola



Bueno, he lanzado esa utilidad (EliTrip v.2.61)



A las preguntas iniciales de: ¿ Desea bloquear el intento de intrusión por el TCP445 ? he contestado que 'no',y a si deseo eliminar las colas de impresión, también que no.



Se ha ejecutado la utilidad sin encontrar ningún fichero infectado, ni tampoco consecuentemente eliminado.



Ahora bien no me ha generado ningún InfoSat ...



No sé si hice algo mal, o no, pero vamos lo he repetido varias veces y nada.



Tengo uno, pero es el generado el pasado 15/10, que ya puse en anterior post.



¿Debería haberse creado otro o modificado este .. ?





Gracias

[msc hotline sat]

Posteenos el contenido de c:\infosat.txt sonde verems el reusltado del proceso



Si tiene este virus , o lo elimina o le pide muestras de los ficheros malware si no conoce la variante en cuestion



saludos



ms, 16-10-2006



Aparte ya hay una nueva version. descargala y orueba la de hoy.



saludos



ms, 16-10-2006

[Nod7]

Bien



Ya ejecuté el EliTriIP, versión de hoy, 2.61



(Ello no generó fichero alguno)



Luego pasé el Elistart, el fichero es este:



"



Mon Oct 16 20:36:25 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 16 20:41:46 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Mis Utilidades\Unlocker_de ficheros\UNLOCKER1.8.4.EXE --> AutoExtraible



"

Salut y gracias

:?

[Nod7]

Holas



No sé si será de tanto pasar utilidades o que, la verdad es que llevo dos dias sin que aparezca la ventanita 'susodicha' .



Toco maderaaaaaaaaaaaaaaaaaaaaa !!! :roll:



Gracias por el soporte y ojalá se solucione..



Salut 8)

[msc hotline sat]

Es que alguna cosa hacemos con las utilidades...



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-10-2006