Ultimate cleaner-troyano (SOLUCCIONADO)

[buhito]

Hola amigos, les cuento que pase todos los antivirus, antispyware habidos y por haber pero no pude sacar este troyano. Se trata de un anti-spyware falso que se mete en la pc y envia alertas falsos diciendo que esta infectada y recomienda bajar justamente este "ultimate cleaner". Cuando paso el Spybot por ejemplo, no lo encuentra, asi que no tengo forma de eliminarlo. Les dejo mi log y espero su ayuda

Logfile of HijackThis v1.99.1
Scan saved at 10:21:44 p.m., on 24/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Terminator\sp_rsser.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\JO\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=11274
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSVPS System - {A1770FD6-A7CB-44DA-AD2C-692D2A2B521B} - C:\WINDOWS\vpsnetwork.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{388AEFDA-B90F-464E-91A0-73311E1992ED}: NameServer = 200.51.212.7 200.51.211.7
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: vpssup - {0828F1FE-7591-4CE6-A904-E854758CCA39} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {86C1ED58-0350-4ACC-8075-587CFE4A59F3} - C:\WINDOWS\expro.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

[msc hotline sat]

Tienes AVAST y NOD32 instalado, debes desinstalar uno de los dos !!!

Y envíanos estos ficheros para analizar:
vpsnetwork.dll
C:\WINDOWS\vpssup.dll
C:\WINDOWS\expro.dll

y elimina esta clave:
O8 - Extra context menu item: Crawler Search - tbr:iemenu

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 25-06-2007

[buhito]

Gracias, ya elimine la entrada pero el problema sigue, te envie los ficheros que me pediste :wink:

[msc hotline sat]

RECUERDA DESINSTALAR UNO DE LOS DOS ANTIVIRUS !!!

Bueno, hoy hemos pasado a controlar estos mismos ficheros con el ELISTARA 14.27, pero ya sabemos de otro usuario que no lo detecta con dicha version, asi que hay variantes, pero mira no sea el caso que estos tres que tu tienes ya los controlemos con la nueva version del ELISTARA de hoy 14.27, descargalo, pruebalo y posteanos el contenido de c:\infosat.txt

Igualmente , si no se controlan, mañana cuando entremos a trabajar en SATINFO analizaremos tus muestras e informaremos

saludos
ms, 25-06-2007

[buhito]

Hola, ya pase el Elistara y aqui esta lo que me pidieron:


Mon Jun 25 23:29:08 2007
EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
L

Código: Seleccionar todo

ista de Acciones (por Acción Directa):
C:\Documents and Settings\JO\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\JO\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\JO\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jun 25 23:30:04 2007
EliStartPage v14.27  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\JO\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)

Ya desinstale uno de los antivirus.El virus sigue ahi Muchas gracias por su ayuda, esperare una solucion.

[msc hotline sat]

Si. ya vemos que se trata de una variante del que hemos controlado hoy, igual será como la otra.

En cuanto entremos a trabajar en SATINFO, dentro de 3 horas, veremos sus muestras, y, tras analizarlas, informaremos

saludos
ms, 26-06-2007

[msc hotline sat]

Analizadas las tres muestras solicitadas, efectivamente son maliciosas si bien externamente no se parecen mas que en el nombre a las de ayer, y pasamos a controlarlas con el ELISTARA 14.28 de hoy, asi como a partir de ahora se pedirá muestra de los 3 ficheros en cuestion que no se detecten por cadenas y asi pedir muestras cuando se pase el ELISTARA y no sea de los conocidos.



A partir de las 20 h GMT estará disponible en esta web para pruebas de evaluacion.



saludos



ms, 26-06-2007

[buhito]

Baje el Elistara 14.28, lo pase y encontró varios ficheros que elimino, creo que finalmente se soluciono el problema Muchas gracias!!! Aqui les dejo los resultados:

Tue Jun 26 15:59:03 2007
EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\EXPRO.DLL.VIR.VIR --> Eliminado, AdWare.Agent.BN
C:\WINDOWS\VPSSUP.DLL.VIR.VIR --> Eliminado, AdWare.Agent.BN

[msc hotline sat]

Me sorprende que en el informe del ELISTARA no aparezca la eliminacion del vpsnetwork.dll , lo cual debería aparecer si no se hubiera eliminado antes... confirmame este punto, sino mira si aun lo tienes e informanos, gracias

saludos
ms, 27-06-2007

[buhito]

Si, elimino varios ficheros (creo que eran 5) , yo postie el ultimo informe del programa, pero elimino mas. :wink: MUCHAS GRACIAS nuevamente!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 28 de Junio de 2007