PWSteal.Banker.B...¡¡¡¡¡Socorro¡¡¡¡(solucionado)

[migcasan]

Buenas tardes a todos, se me coló este troyano en mi PC nuevo de un mes, tengo instalado el Norton Internet Security 2004,lo actualizo cada día, mi sistema operativo es Windows XP Profesional con servicepack1 instalado, también lo actualizo cada día con el update..

El Norton me lo encuentra y me lo aisla pero no me lo quita, si lo borras manualmente se vuelve a reproducir y el Norton lo vuelve a encontrar, vuelve a hacer una copia de seguridad y me dice en cada analisis que hago a fondo del sistema, manual o no que aún está infectado el sistema con un virus, el PWSteal.Banker.B, en la web de Simantec, leo que es un troyano bastante reciente y bastante nuevo, me bajo el Updater inteligente correspondiente (5 megas) y sigo instrucciones, anulo restore de sistema, modo seguro de inicio, busqueda de archivos con el nombre del virus (no encuentra ninguno) y paso a eliminar la porquería que deja en el registro, aquí llega el problema, em mi registro la secuencia que me dicen que debo buscar no coincide...coincide en parte pero en HKEY_LOCAL_MACHINE busco System, currentControlSet,Control y ahora viene el problema dicen que el próximo es MPRServices y después TestServices, en mi registro no encuentro el MPRServices en Control...y claro, ya no puedo borrarlo todo, veo en otra secuencia de busqueda en Notify (dentro de Winlogon) el puñetero f3sdl...

¿Es que mi registro es especial? ¿particular? ¿en donde encuentro el MPRService y TestService?

¿Alguien sabe que puedo hacer?, me he bajado el buscador de cadenas de registro (genial) pero es que ni siquiera sé usarlo, se vé que no pongo una cadena entera y no me sirve...

Muchas gracias desde ya y perdonen por el ladrillo.

Salu2

[maura63]

Informacion al respecto



http://www.symantec.com/avcenter/venc/data/pf/pwsteal.banker.b.html



Al tener Xp si tienes conexcion adsl entra en modo seguro con funciones de red y pasa este antivirus



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/







Saludos

maura63

[maura63]

Expongo aqui el mensaje privade enviado por el usuario a peticion suya al no saber como hacerlo directamente al foro. [color=red]Simplemente pincha en publicar respuesta que encontraras al final de tu mensaje[/color]

************************************************************



De: migcasan

Para: maura63

Publicado: Mie Jul 28, 2004 7:48 pm



Asunto: Perdona, pero no sé contestar de otra forma, no me aclaro..



Muchas gracias por contestar, de corazón, el documento de Symantec al que se refiere el primer link, lo tengo impreso, es de donde saco las modificaciones que debería quitar en el registro, el problema es que no me coincide el registro, tal y como explico en el post inicial.

He pasado el antivirus on-line que me recomiendas seleccionando el disco duro, dice que me ha escaneado 24966 archivos y que no tengo ningun virus¡¡¡¡¡¡¡¡¡, no lo entiendo, no sé si el Norton lo tiene aislado de tal manera que no lo encuentra mas que él, ni siquiera está en cuarentena, solo sale en la lista de sucesos y cuando le das a las propiedades del bicho, dice que es una copia de seguridad...pero está, y las modificaciones en el registro también, las que encuentro claro, porque mi registro no es igual que el del documento de Norton.

Si te ocurre algo mas te estaría eternamente agradecido.

Dime por favor, como contestar para que el resto de los usuarios puedan ver éste hilo, no encuentro la manera, si puedes contestarme en el hilo del foro y pasar el mensaje a él, mejor.

Un abrazo.





Saludos

estamos en ello



maura63

[maura63]

Comprueba que no tengas archivos ocultos



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Hazlo y pasa de nuevo el antivirus, modo seguro y desactiva restaurar sistema.





Saludos

maura63

[migcasan]

Estoy deseperado, he vuelto a pasar el antivirus on-line siguiendo vuestras instrucciones, solo he tenido que comprobar que no había cambiado nada, pues lo de mostrar extensiones y archivos ocultos del sistema ya lo había probado traduciendo malamente documentos del support de Symantec, el restore del sistema está deshabilitado...

Creo que si encontrara la forma de borrar los cambios que el c*br*o este hace en el registro podría ser una primera vía de solución, pero como no me coinciden las carpetitas...mi registro no tiene MPRServices, que es donde me engancho.

No sé que hacer, el PC funciona perfectamente pero no sé el peligro real de tener ese bicho, aunque aislado por el Norton, y de los cambios en el registro.

Gracias, y si se te ocurre otra cosa, a tí o a algun experto o usuario del foro, por favor, hacermelo saber, sois cojonudos.

Un saludo.

[efraingh]

Hola, pues he leido el post, y veo que no coincide la informacion del virus que ponen de la Pagina de Symantec y el sistema en el que esta la infeccion, ya que el menciona que tiene Win XP y en la pagina de symantec mencionan que el virus ese afecta a Win 9x/Me pero no NT/XP



Tal vez por eso es que no encuetres las carpetas dentro del registro del sistema.



Ahora, yo he dado a buscar con algunas letras del nombre (para ser exactos pwsteal.ban) en nai y me ha dado por resultado estos dos links:





PWSteal.Bancos http://vil.nai.com/vil/content/v_100798.htm



PWSteal.Bancban (Banpaes) http://vil.nai.com/vil/content/v_100845.htm



Aunque no se si tengan relacion con el virus pwsteal-banker.b ya que no tienen el mismo nombre, pero podrias checar las partes del registro que manejan que altera para ver si es alguno de estos los que hay infectado tu pc.



Espero les sirva la ayuda



Saludos a todos



Efrain

[msc hotline sat]

Añadp itri link de McAfee al respecto, del PWS-Banker:



http://vil.nai.com/vil/content/v_124984.htm



saludos



ms, 29-07-2004

[migcasan]

Hola amigos, al final pude eliminar a ese desgraciado, la verdad es que no sé muy bien explicar lo que hice, hice tantas cosas...7 u 8 antivirus on-line, instalar y desinstalar varios sistemas de seguridad completos,bajé el pestpatrol en su última versión, un auténtico bestia que elimina si te descuidas y no entiendes hasta cosas necesarias...nada.

Como no entiendo demasiado, no sé explicar bién que conjunto de cosas lo quitaron, pero voy a explicar lo que hice para quién le puedad interesar:con la herramienta buscadora de cadenas de registro borré todas las entradas en donde figurara" LSD_F3 "y" isd_f3.dll", también borré todas las entradas de registro en donde figurara "Norton" (mi teoría es que tenía el archivo isd_f3.dll atrapado, encriptado e imborrable) aparte de desactivar restaurar sistema, modo seguro, archivos y carpetas ocultas y descubiertas, desmarqué una casilla que pone algo así como proteger archivos del sistema, entonces borré la dichosa dll, por fín pude, para terminar aún tuve que borrar a mano toda la carpeta de la llave del refistro con el nombre f3dsl, dejando solo la entrada correcta, ver documento de Symantec, después me daba errores el Explorer y el bloc de notas, volví a instalar estas dos cosas y el Norton, actualizar, actualizar el update de Windows (el p**o registro no coincidía con exactitud) y por fín el sistema limpio.

Desde entonces aún he tenido que limpiar con herramientas manuales de Symantec el Korgo v y el Korgo s...¡j**e con estos cabrones¡

El sistema sigue como la patena, el ad-wach siempre alerta (quizás con él no hubiera entrado) y con el pestpatrol elijo que quiero borrar y que quiero dejar.

Gracias a todos, ojalá le sirva de algo mi experiencia a alguien.

Saludos.

[cañera]

gracias.

nos alegramos de que lo hayas podido eliminar.

procedemos entonces a eliminarlo.

ya sabes donde encontrarnos siempre que nos necesites.