YOUR COMPUTER IS INFECTED! (Solucionado)

[JOZE]

TENGO UN ICONO AL LADO DE RELOJ, ES REDONDO DE COLOR ROJO Y CON UN SIGNO DE ADMIRACION DENTRO.

SI PASO POR ENCIMA ME PONE



"YOUR COMPUTER IS INFECTED"



DE VEZ EN CUANDO SE ABRE UN GLOBO DE DICE LO MISMO Y DEBAJO:



CLICK HERE TO PROTECT YOUR COMPUTER FROM SPYWARE / VIRUS THREAT.



Y SI CLICO 2 VECES ME LLEVA A:



http://www.psguard.com/?aff=1&sub=0



COMO PUEDO ELIMINARLO?

ANTES TENIA UN ICONO ROJO CON UNA X HE ENTRADO Y ME LLEVABA A UN ANTIVIRUS GOLD, NO SE COMO ME LO HE QUITADO DE ENCIMA.

[maura63]

Lanza este programa



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Despues de pasar la utilidad



Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.







Saludos

maura63 -12 dias

[JOZE]

PERDON AL DECIRME LANZA ESTE PROGRAMA, YO CLICO EN LA DIRECCION Y QUE HAGO MAS

[maura63]

Cuando pinchas en los enlaces en el elistara al final de la pagina veras un cuadro que pone descarga pincha en el y guarda la utilidad.



Con hijackthis se debe abrir directamente la descarga y procedes igual.



Para elistara entra en http://www.zonavirus.com y cuando cargue la pagina arriba a la derecha veras PANEL DE CONTROL PINCHA Y registrate con el mismo nick y paswoord para poder descargar.



Despues de guardar los dos ejecuta elistara y despues de limpiar haz lo de hijackthis.



Saludos

maura63 -12 dias

[JOZE]

HE DESCARGADO EL PROGRMA Y LA RESPUESTA DEL BLOC DE NOTAS ES:

Logfile of HijackThis v1.99.1

Scan saved at 12:48:06, on 20/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\intel32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\eMule\eMule.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\BIRDIS\CONFIG~1\Temp\Directorio temporal 1 para hijackthis_199.zip\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120672349466

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{624671FE-E740-422D-882B-BC09B1173215}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{624671FE-E740-422D-882B-BC09B1173215}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

[maura63]

Debes pasar antes el ELISTARA, pues tienes



O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe

[color=red]Variante de SmitFraud alias FAKEALE-C TROJAN!

[/color]



Saludos

maura63

[JOZE]

HABER SI LO HE HECHO BIEN

Logfile of HijackThis v1.99.1

Scan saved at 12:58:51, on 20/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\intel32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Archivos de programa\eMule\eMule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\BIRDIS\CONFIG~1\Temp\Directorio temporal 2 para hijackthis_199.zip\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120672349466

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{624671FE-E740-422D-882B-BC09B1173215}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{624671FE-E740-422D-882B-BC09B1173215}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

[maura63]

Pues no, pero no por culpa tuya, puede que sea otra variante que se regenera pues ahora tienes mas basura.



por ejemplo las claves 015.



Esto lo desconozco



C:\WINDOWS\system32\intel32.exe -

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe -



Siguen estas

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe -

O4 - Global Startup: Consola KIT ADSL.lnk = ? -



Y aparecen estas

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) -

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) -



Saludos

maura63 -12 dias

[JOZE]

ASI QUE NO PUEDO HACER NADA.

EN QUE AFECTARA EN MI ORDENADOR.

[maura63]

Todo tiene solucion en esta vida menos la muerte.



Paciencia.



Saludos

maura63 -12 dias

[maura63]

Abre el administrador (ctrl+alt+supr) y deten este proceso



C:\WINDOWS\system32\[color=red]intel32.exe [/color]-



Lanza hijackthis y elimina esta entrada



O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe -



Apagas y arrancando en modo seguro vuelves a lanzar hijackthis pulsa scan y de encontrar alguna de las entradas mencionadas en post anteriores elimina marcandolas y pulsando en FIX.



Busca en C



C:\WINDOWS\system32\[color=red]intel32.exe [/color]-





y eliminas, despues arranca en modo normal y comprueba el resultado.



Saludos

maura63 -12 dias

[msc hotline sat]

A ver, para eliminar el SmitFraud se ha de ARRANCAR EN MODO SEGURO y lanzar el ELISTARA



Ya arrancas en modo seguro ?



saludos



ms, 20-07-2005

[msc hotline sat]

La nueva variante FAKEALE-C no estaba contemplada, añadimos la eliminacion de sus claves en el ELISTARA que estamos haciendo ahora, version 10.09, que subiremos a esta web en cuanto esté compilada.



saludos



ms, 20-07-2005

[msc hotline sat]

Disponible en esta web, para pruebas de evaluacion en eeste foro, la nueva version ELISTARA 10.09:



---v10.09-(20 de Julio del 2005) (para el SmitFraud de ZonaVirus "PSGuard.exe")





Descargarla y ejecutarla habiendo arrancado en modo seguro y comentar los resultados como respuesta de este Tema, gracias



saludos



ms, 20-07-2005

[palomo]

[b]trojan SmitFraud. html.[/b]



disculpen la intromision, pero hasta donde mi experiencia me da,(ayer quite este virus en la maquina de una amiga)

encontre estos archivos infectados



C:\wp.bmp

C:\Windows\sites.ini

c:\bsw.exe

C:\Windows\popuper.exe

C:\WINDOWS\System32\intel32.exe

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\Archivos de programa\PSGuard\PSGuard.exe



el unico que me dio mucha duda fue

C:\Windows\System32\msmsgs.exe

debido a que es del messenger, pero preferi borrarlo y desinstalar el mensajero..

espero esto les pueda servir..

[msc hotline sat]

Gracias palomo, pero no sé si habías visto lo indicado en el segundo tema de este apartado sobre la eliminacion del smitfraud.c, incluyendo las variantes para los adwares propagandisticos del antivirus GOLD y de este de hoy PSGUARD, todo ello implementandolo en cada version del ELISTARA que hemos ido haciendo, como se ha ido indicando al respecto:



ELIMINACION MANUAL DE SMITFRAUD.C:



Instrucciones para eliminar Smitfraud traducidas y reproducidas de BleepingComputer.com con permiso expreso de su autor (Grinler):



Para eliminar esta infección necesitará usar HijackThis para llevar a cabo la eliminación manual:



1. Imprima estas instrucciones ya que será necesario cerrar todas las ventanas durante la reparación..



2. Vaya al Panel de control de Windows y haga clic en Agregar o quitar programas.



3. Cuando aparezca la lista de programas instalados, haga doble clic en Security iGuard si es que existe y desinstalelo. A continuación salga de Agregar o quitar programas y del Panel de control.



4. Cierre todas las ventanas, incluyendo la del navegador en la que está leyendo esto.



5. En HijackThis, marque las siguientes entradas y pulse en el botón fix checked:



O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O9 - Extra button: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)



6. Salga de HijackThis



7. Reinicie en ordenador en modo seguro



8. Elimine los siguiente archivos y carpetas:



c:\wp.exe

c:\bsw.exe

c:\bsw.bmp

c:\wp.bmp

c:\windows\system32\wldr.dll

C:\Archivos de programa\Security iGuard\ (<-- carpeta)

9. Reinicie en modo normal.



10. Crear el siguiente archivo seleccionando el script entre quotes y copiandolo al bloc de notas, y salvarlo como SMITFRAUD.REG:



bleepingcomputer escribió:



REGEDIT4



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispAppearancePage"=-

"Wallpaper"=-

"WallpaperStyle"=-

"NoDispBackgroundPage"=-



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktopChanges"=-



[HKEY_CURRENT_USER\Control Panel\Desktop]

"Wallpaper"=-

"WallpaperStyle"=-



[HKEY_CURRENT_USER\Control Panel\Colors]

"Background"="0 78 152"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"notepad.exe"=-

"notepad2.exe"=-

"winlogon.exe"=-

"paint.exe"=-



[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]

"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

"Default_Search_URL"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]

""="http://home.microsoft.com/access/autosearch.asp?p=%s"



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="http://search.msn.com/spbasic.htm"

"Use Custom Search URL"= dword:00000000



[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]



[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]



[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]



[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]



[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]



[-HKEY_CLASSES_ROOT\VMHomepage]



[-HKEY_CLASSES_ROOT\VMHomepage.1]



[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]









11. Haga doble clic en el archivo smitfraud.reg. Cuando le pregunte si desea combinar el archivo en el registro de windows pulse Aceptar.



12. Reinicie y ahora podrá cambiar las propiedades del escritorio. Si tiene problemas con la configuración, haga clic en la pestaña Temas y seleccione el tema predeterminado de Windows XP.



Ahora su ordenador debería estar limpio de la infección Smitfraud / Wp.exe / WindowsFY. Sin embargo, es probable que la infección se instalase con otro programa maligno. Si necesita ayuda para eliminarlo ponga un nuevo informe de HijackThis en los foros.



-ELIMINACION AUTOMATICA DEL SMITFRAUD.C CON ELISTARA > 7.4



AÑADIDO EN NUEVAS VERSIONES:





[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktopChanges"=-

"ForceActiveDesktopOn"=-



[HKEY_CURRENT_USER\Control Panel\Desktop]

"Wallpaper"=-

"WallpaperStyle"=-



[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]



[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]

"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

"Default_Search_URL"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]

""="http://home.microsoft.com/access/autosearch.asp?p=%s"



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]

"Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="http://search.msn.com/spbasic.htm"

"Use Custom Search URL"= dword:00000000

"Use Search Asst"=-



[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]



[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]



[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]



[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]



[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]



[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]



[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]



[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]



[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]



[-HKEY_CLASSES_ROOT\VMHomepage]



[-HKEY_CLASSES_ROOT\VMHomepage.1]



[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]



[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]



[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Intel system tool"=-

"WindowsFZ"=-



[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold



Con el ELISTARA se facilita automaticamente su desinfeccion, como han podido comprobar nuestros foreros.



Y decirte que otros ficheros que indicas aunque no correspondan a este troyano, tambien los controla el ELISTARA, como podrás ver en la descripcion de cada version, en la pagina de descarga:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Gracias por tu informacion. Espero que te sirva la nuestra, disponible en este foro aunque no sea preciso usarla gracias a la utilidad indicada.



saludos



ms, 20-07-2005

[JOZE]

ME HE BAJADO LA ULTIMA ACTUALIZACION DE ELISTARA Y HE REINICIADO EL ORDENADOR.

PORQUE NO SE HACERLO EN MODO SEGURO.

PERO HA FUNCIONADO DE MOMENTO YA NO TENGO EL ICONO.

CREO QUE ME HABEIS SOLUCIONADO EL PROBLEMA.

MUCHAS GRACIAS Y UN ABRAZO.



PD. EN QUE PUBLICIDAD HAY QUE DARLE ?

[maura63]

Arrancar en modo seguro se consigue pulsando la tecla F8 al encender el PC y seleccionas dicho modo del menu que te aparecera.



Damos por solucionado el tema y cerramos.



Saludos

maura63