puresafetyhere

lerak25 · Mensaje por **lerak25** » 10 Feb 2008, 15:31

Hola amigos, esta mañana se me ha colado un virus en mi portatil. Creo que se llama puresafetyhere. Lo he descubierto porque cuando abro Internet explorer me deriva a una pagina que se llama puresafetyhere. a partir de ese momento el oredenador no para de dar avisos de virus y programas para descargarlos (en inglés). No he descargado nada, pero aunque vaya a opciones de internet en el explorer, en primer termino vuelve a abrir el explorador correctamente, pero a la siguiente vez que abres directamente, vuelve a salir la pagina del teorico antivirus. Mi antivirus, Essed NOD32 no ha descubierto nada pero he investigado y creo que todos los archivos del virus están en una carpeta de archivos de programa llamada Net Proyect. Podreis ayudarme con este problema? Muchas gracias

Mensaje por **msc hotline sat** » 10 Feb 2008, 19:46

Se trata de un spyware del que no habiamos tenido aun incidencias, pero por lo que he visto, lo pasaremos a controlar con el ELISTARA a partir de analizar las muestras que pidamos al respecto.

De entrada posteanos los del HJT:

[quote]~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos [/quote]

acto seguido abre el administradord e tareas (CTRL-SHIFT-ESC) y deten estos procesos:

pmmon.exe

pmuninst.exe

isfmm.exe

isfmntr.exe

isfun.exe

icmntr.exe

icthis.exe

ictun.exe

icun.exe

luego elimina estas claves:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IExplorer Security Plug-in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Secure Bar

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aa6d4f53-4c8d-4549-84d2-02d584acc4e9}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70d17a5f-ef27-4295-90f5-20ad6f24834f}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{80ced3d6-ece9-48ba-8df8-2503d8d87c2b}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Messenger Service

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D61D7E1A-6613-49CA-B6F9-51DB248E209D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper objects\{D61D7E1A-6613-49CA-B6F9-51DB248E209D}

y ya de entrada envianos estas DLL para analizar:

gtawclv.dll

vjxwnn.dll

cfqbw.dll

vmlwp.dll

veptlh.dll

isfmdl.dll

fdpzgi.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tras enviarnoslas renombra su extension a .VIR para que tras reiniciar ya no puedan ser utilizadsa

Seguiremos cuando veamos el log del HJT y hayamos recibido las muestras indicadas.

saludos

ms, 10-2-2008

lerak25 · Mensaje por **lerak25** » 10 Feb 2008, 20:11

Logfile of HijackThis v1.99.1

Scan saved at 20:09:23, on 10/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Acer\eManager\anbmServ.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Arcade\PCMService.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Archivos de programa\Launch Manager\QtZgAcer.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\NetProject\scit.exe

C:\Archivos de programa\NetProject\scm.exe

C:\Archivos de programa\NetProject\sbmntr.exe

C:\Archivos de programa\NetProject\sbsm.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jucheck.exe

C:\WINDOWS\explorer.exe

D:\pando\pando.exe

C:\Archivos de programa\SpyNoMore\SNM.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Juani\CONFIG~1\Temp\Rar$EX00.407\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/md5auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - D:\pando\PandoIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Archivos de programa\NetProject\sbmdl.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SNM] C:\Archivos de programa\SpyNoMore\SNM.exe /startup

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Juani\Configuración local\Archivos temporales de Internet\Content.IE5\2Q6TLL0A\ELISTARA.19022008[1].EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [HDDHealth] C:\Archivos de programa\HDD Health\hddhealth.exe -wl

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

lerak25 · Mensaje por **lerak25** » 10 Feb 2008, 20:18

He conseguido analizar el pc con hijacthis y he enviado el resultado pero los procesos que me pedis que detenga no aparecen en el administrador de tareas. No tengo demasiado nivel de informatica y con esa parte creo que me he echo un lio. Lo que si veo seguro, es que esos procesos no aparecen.

Gracias

Mensaje por **msc hotline sat** » 10 Feb 2008, 20:29

Sí en el log del HJT no aparece nada de lo que indican al respecto... claro que el registro es inmenso...

Envianos estos dos ficheros sospechosos:

C:\Archivos de programa\NetProject\sbmntr.exe

C:\Archivos de programa\NetProject\sbsm.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 10-2-2008

NOTA Y a continuacion renombra la extension de dichos ficheros a .VIR; para que al reiniciar no se ponga en marcha, y tras analizarlos ya informaremos...

Mensaje por **msc hotline sat** » 11 Feb 2008, 16:38

Pues se trata de un PUPER nuevo que no conociamos...

Necesitamos todos los ficheros que contiene dicha carpeta:

C:\Archivos de programa\NetProject\

Tras recibir las muestras, implementaremos su control y eliminacion en la siguiente version del ELISTARA, de lo cual informaremos

saludos

ms, 11-2-2008

Mensaje por **msc hotline sat** » 12 Feb 2008, 11:33

Recibidas nuevas muestras, se implementa su control y eliminacion en el ELISTARA DE HOY 15.64 que estará disponible en esta web a partir de las 19 h, para pruebas de evaluacion en el foro de zonavirus

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms,. 12-2-2008

lerak25 · Mensaje por **lerak25** » 12 Feb 2008, 20:37

aqui dejo el contenido de C:infosat:

Sun Feb 10 16:20:32 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SBMDL.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBMDL.DLL --> Acceso Denegado.

C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}" -> C:\Archivos de programa\NetProject\sbmdl.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 12 20:27:43 2008

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 12 20:27:53 2008

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Espero que esto sea lo que os haga falta. Hasta mañana por la tarde no podré conectarme más. Disculpad las molestias.

Gracias

Mensaje por **msc hotline sat** » 13 Feb 2008, 07:07

Pues no, el informe del ELISTARA es el del dia 10 con la 15.62, y el siguiente informe es del ELISTRAT , para el virus Stration, no del ELISTARA , del que le pediamos que se descargara la actual 15.64 y la probara...

Creo que no ha pulsado en el link adecuado o se ha equivocado al ir a ejecutar la utilidad descargada. Recuerde que estas utilidades deben borrarse tras probarlas, y cuando las necesite, bajarse la actual, asi que este ELISTRAT que tiene... a la papelera !

saludos

ms, 13-2-2008

lerak25 · Mensaje por **lerak25** » 13 Feb 2008, 19:25

Hoy si que le he pasado la aplicación que me deciais.

El resultado es este.

Wed Feb 13 19:21:47 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Le he pasado la 15.65 y no la 15.64 espero que no sea inconveniente.

Han desaparecido los bombardeos de mensajes pero creo que aun no está limpio. Si le paso mi antivirus verá algo?

Muchisimas gracias.

Mensaje por **msc hotline sat** » 13 Feb 2008, 19:35

Si pero a medias :wink: ...

Efectivamente las versiones son acumulativas, esto es, las posteriores contemplan lo anterior, pero no vemos el Analisis por EXPLORACION...

(Despues de la Accion Directa, presenta la pantalla de SATINFO con el boton de EXPLORAR, pulsalo para que lo haga)

y luego posteanos de nuevo el infosat, gracias

saludos

ms, 13-2-2008

puresafetyhere

puresafetyhere

los procesos no aparecen