ayuda virus Adware.SurfSideKick (SOLUCIONADO)

[doblas57]

hola a todos;



tengo desde hace varias semanas una notificacion de mi antivirus (nod 32), en la que me dice que tengo 3 ó 4 archivos infectados con el siguiente virus;

C:\WINDOWS\system32\dxclib303562752.dll - Win32/Adware.SurfSideKick aplicación

he intentado eliminarlo de varias formas, metiendome en el disco duro, con un programa llamado Killbox;también utilizando otra utilidad llamada combofix.exe, utilizando el nod 32 y el norton y no consigo eliminarlo y esto hace que internet y el pc en general no me vaya del todo bien.

gracias por vuestra ayuda y un saludo,



doblas57

[Nuker]

Por lo que investigue ELISTARA y ELITRIIP tienen controlados unas muestras del "Surf" pasatelos en Modo Seguro, (guardas en escritorio y ejecutas en Modo Seguro). Al terminar el escaneo te crearan un log en Unidad C con nombre de infoSat.txt, copia contenido y pegalo aqui para ver el resultado de eliminacion.



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

Y le recordamos que en windows no basta con eliminar los ficheros...



Las aplicaciones se instalan en el registro y deben desinstalarse ademas de eliminar los ficheros correspondientes.



Mira si con lo indicado por nuker te es suficiente, y si no, envianos los ficheros que detectes infectados y, tras analizarlos, implementaremos su control y eliminacion en el siguiente ELISTARA



saludos



ms, 9-03-2007



nota: y por si es el caso, recuerda



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[doblas57]

:D

hola;

ante todo dar las gracias a Nuker y msc hotline sat.

he seguido los pasos que me aconsejasteis y tras ejecutar Elistara y elitriip en modo seguro y hacer escaneo, os mando resultado. deciros que en ambos escaneos, se denegaban accesos a muchas carpetas, sobre todo situadas en windows:





Fri Mar 09 19:16:59 2007

EliStartPage v13.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINDOSW.EXE --> Eliminado Malware.WINDOSW

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 09 19:17:36 2007

EliStartPage v13.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar













Fri Mar 09 19:30:46 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 09 19:31:03 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{79546A5F-AE7C-4693-8670-A3401B43ABD2}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Temp\{79546A5F-AE7C-4693-8670-A3401B43ABD2}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\hp\drivers\hpiz402\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

un saludo y gracias de nuevo

[msc hotline sat]

Pues mire si todavia le detecta el adware, y si es el caso, envienos el fichero para analizar :



dxclib303562752.dll



recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 9.03.2007

[doblas57]

hola de nuevo;

tras realizar el escaneo en modo seguro, me detecto 2 archivos infectados (dxclib303562752.dll) y logro eliminar 1; pero me sigue quedando C:\WINDOWS\system32\dxclib303562752.dll.

He intentado comprimirlo para mandarolos y no me lo permite.

Tambien queria comentarte que en "modo seguro con conexion a red", no me permite conectarme a internet. es normal? a que se puede deber esto?.

gracias

[Nuker]

Para poder comprimirlo debe desactivar el residente de su antivirus (cerrar antivirus) mientras hace el movimiento si no no podras, acuerdate tambien de empaquetar el archivo con la contraseña "VIRUS", y asi el correo tampoco te lo interceptara.



Y sobre el el Modo Seguro con Funciones de Red, no vas a poder si tienes Modem, solo funciona con routers.



Saludos.



Te recordamos:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Tambien puede arrancar en modo seguro para empquetar con password y luego arrancar en modo normal y adjuntar el fichero comprimido al mail que nos envie, ya que empaquetado de esta forma, no será interceptado.



saludos



ms, 10-03.2007

[doblas57]

hola;

os acabo de enviar el archivo comprimido y con la clave, espero vuestra respuesta.

por cierto, tengo modem.

gracias y un saludo

[lucl]

el lunes te lo analizaran y te diran algo al respecto sobre el envio, saludos

[msc hotline sat]

Con el ELISTARA DE HOY PASAMOS A CONTROLAR LA NUEVA VARIANTE DEL SOURCE SIDEKICK que contiene el fichero por Vd enviado.



estara disponible en esta web, para evaluacion en el foro de zonavirus, a partir de las 20 h GMT



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 12-03-2007

[doblas57]

:D

hola de nuevo,

tras seguir vuestras indicaciones, aqui teneis el archivo de satinfo.txt:



Mon Mar 12 20:29:40 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 12 20:29:45 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





el virus lo detecto, pero no lo ha eliminado, espero vuestra respuesta,

gracias y un saludo

[lucl]

[quote="msc hotline sat"]Con el ELISTARA DE HOY PASAMOS A CONTROLAR LA NUEVA VARIANTE DEL SOURCE SIDEKICK que contiene el fichero por Vd enviado.



estara disponible en esta web, para evaluacion en el foro de zonavirus, a partir de las 20 h GMT



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 12-03-2007[/quote]

pasalo en modo seguro, tiene que quitartelo, y si lo detecto porque no lo pone en el log???? intentalo de nuevo, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Rarillo, rarillo ...



Con la actual version ya se controla este :



ELISTARA



---v13.51-(12 de Marzo del 2007) (Muestras de (3)Vundo(notify), (2)DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", (3)Swizzor(lop), (2)Dropper.Delf.XO "KEYGEN.EXE y URLHELPER.EXE", FDoS-SpaBot "NVCHOST.EXE", AdSpy-Sohu "P2PSVR.EXE", SurfSideKick "DXCLIB*.DLL" y Dialer-Xoa "JZMGAA.EXE")





por : SurfSideKick "DXCLIB*.DLL" , ademas que se hizo tras el analisis de la muestra que Vd nos envió !!!???



y como dice lucl, si lo detectó ... ???



Voy a informarme un poco al respecto





http://www.symantec.com/security_response/writeup.jsp?docid=2004-112118-0309-99&tabid=2


[quote="symantec"]

Updated: February 13, 2007 11:40:46 AM

Type: Adware

Publisher: http://www.surfsidekick.com

Risk Impact: High

File Names: Ssk.exe SskBho.dll SskCore.dll SSK_B5.EXE

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP





When Adware.SurfSideKick is executed, it performs the following actions:



Creates the following files:



%Program Files%\SurfSideKick [version]\Ssk.exe

%Program Files%\SurfSideKick [version]\SskBho.dll

%Program Files%\SurfSideKick [version]\SskCore.dll

%Temp%\sskupdater3.exe

%Temp%\??.tmp

%Temp%\SSK3_B5 Seedcorn 4.exe

%Temp%\??.bat



Note:

%ProgramFiles% is a variable that refers to the program files folder. By default, this is C:\Program Files.

%Temp% is a variable that refers to the Windows temporary folder. By default, this is C:\Windows\TEMP (Windows 95/98/Me/XP) or C:\WINNT\Temp (Windows NT/2000).

[version] refers to the current version number of the program.





Adds some of the following registry keys:



HKEY_CLASSES_ROOT\CLSID\{000AB0005-FF12-42C2-8DF5-39E12E5F9C91}

HKEY_CLASSES_ROOT\CLSID\{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}

HKEY_CLASSES_ROOT\CLSID\{02EE5B04-F144-47BB-83FB-A60BD91B74A9}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Surf Sidekick

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Surf Sidekick_is1

HKEY_CURRENT_USER\Software\SurfSideKick2

HKEY_CURRENT_USER\Software\SurfSideKick3

HKEY_LOCAL_MACHINE\SOFTWARE\SurfSideKick3





Adds some of the following values:



"SurfSideKick" = "%Program Files%\SurfSideKick\Ssk.exe"

"SurfSideKick 2" = "%Program Files%\SurfSideKick 2\Ssk.exe"

"SurfSideKick 3" = "%Program Files%\SurfSideKick 3\Ssk.exe"



to the following registry keys:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



so that the program runs every time Windows starts.





Deletes the value:



{CFBFAE00-17A6-11D0-99CB-00C04FD64497}



from the registry key



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks





Adds the values:



{02EE5B04-F144-47BB-83FB-A60BD91B74A9}

{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}



to the registry key



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks





Adds the values:



{000AB0005-FF12-42C2-8DF5-39E12E5F9C91}

{02EE5B04-F144-47BB-83FB-A60BD91B74A9}

{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}



to the registry key



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks





Displays pop-up ads.





May attempt to connect to a predetermined Web site, download other adware programs and send on system information.
[/quote]



Pues no parece utilizar RootKits, y es un adware, que modifica muchas claves y demas, pero deberiamos haberlo eliminado con la actual version del ELISTARA





Como indica lucl, arranca en modo seguro y vuelve a probar el ELISTARA, incluida exploracion, e informanos del resultado (posteanos el C:\infosat.txt)



Tras ello mira si persiste el dichoso fichero, y dinoslo para obrar en consecuencia, gracias



saludos



ms, 13-03-2007

[msc hotline sat]

[quote="lucl"]
pasalo en modo seguro, tiene que quitartelo, y si lo detecto porque no lo pone en el log????
[/quote]

Pues hemos mirado la razón del porqué y resulta que se le daba por supuesto que lo eliminaba, indicandolo en la comprobacion, pero no se consideraba el que no se pudiera, ya que nunca se daba el caso, pero siempre ha de haber una primera vez...



Este es una variante del adware SurfSidekick, pero persistente, pues se carga como modulo del explorer.exe y del winlogon, desde el AppInit, y asi aunque se detenga un proceso, el otro lo reactiva en milisegundos, y se regenera la clave aunque la borremos, y el fichero no se deja ni tocar ni mover ni eliminar



Mientras desarrollamos un nuevo sistema de arrancar antes que el virus, en el Appinit, ya que ello se carga antes que el Elinotif, lo podremos eliminar arrancando con el CD de instalacion, seleccionando R para entrar en consola de recuperacion y una vez alli, en DOS, borrar de la carpeta de sistema la siguiente DLL con un DEL:



DEL C:\WINDOWS\system32\dxc*.dll



Tras ello arrancar normal y probar el ELISTARA y al final postearnos el contenido de C:\infosat.txt



Espero que con ello soluciones el problema, y para una proxima incidencia, ya miraremos de implementar el en ELISTARA un metodo automatico mas comodo, pero mientras...



saludos



ms, 13-03-2007



Nota: aparte se implementa la indicacion de Acceso Denegado cuando no se pueda eliminar dicho fichero, como encontraba a faltar lucl (y nosotros, que nos pasó por alto :lol: )

[doblas57]

hola de nuevo, siento tantos quebraderos de cabeza que os estoy dando,



De las ultimas instrucciones que me habeis dado;

[b]"Mientras desarrollamos un nuevo sistema de arrancar antes que el virus, en el Appinit, ya que ello se carga antes que el Elinotif, lo podremos eliminar arrancando con el CD de instalacion, seleccionando R para entrar en consola de recuperacion y una vez alli, en DOS, borrar de la carpeta de sistema la siguiente DLL con un DEL:"[/b],

necesito que me aclareis varias cosas;

*sobre el cd de instalación os referis a cd de windows xp (no tengo el original), es igual???

gracias y un saludo

[Nuker]

Para hacer esto que le pide es indispensable el disco de instalacion (original claro) de XP. Ya que ahi es donde le sale la opcion de Consola de Recuperacion. En todo caso espere al admin, que le dio estas ordenes a ver que le comenta.

[msc hotline sat]

Bueno, para arrancar en consola de recuperacion puede usarse cualquiera, de XP o de W2000, aunque no sea de esta máquina... es como un disquete de arranque de antes, que no precisaba ser de la maquina en cuestion.



Si tuvieras problema en ello, incluso podrias preparar un disquete de arranque con aceso a NTFS:



http://www.ntfs.com/boot-disk.htm



pero preferible hacerlo arrancando con el Cd de instalacion



saludos



ms, 13-03-2007

[doblas57]

Hola de nuevo;

segui las ultimas instrucciones y creo que por fin se eliminó, posteriormente lo arranque en modo seguro y el elistara me da este informe;

===============================================

Wed Mar 14 21:32:18 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Mar 14 21:32:20 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



===============================================

Durante el escaneo ya no encontro el virus y tras encenderlo en modo normal, el nod32 tampoco.

A ver que opinais vosotros,

Un saludo y gracias :lol: :lol: :lol: :lol: :lol: :lol: :lol:

[msc hotline sat]

Pues que se ha librado de una buena, porque de no ser en la forma indicada, se hubiera vuelto loco para eliminarlo !!!





[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-03-2007