spyware en ms.dll???

Ohhh · Mensaje por **Ohhh** » 01 Ago 2005, 21:10

tengo un problema un tipo me ha dicho que me ha instalado un spyware por medio de msdos se que es verdad porque me dijo todo lo que tenia y me mostro algunas cookies mias a si como los procesos y otras cosas.

lo e buscado por el nod32, spybot , adaware, cwsreader, active el firewall de windows pero al parecer nada funciono. cabe mencionar que todo estaba actualizado.

cuando le pregunte como me lo metio me dijo que por mi ms.dll busque las conexiones por medio de msdos y netstat pero no vi nada raro ni procesos raros.

la pregunta es como me desinfecto y como puedo estar protegido de futuras infecciones..

aqui esta mi log.

Logfile of HijackThis v1.99.1

Scan saved at 13:14:37, on 01/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:2000

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\yahoo\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\yahoo\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

gracias de antemano..

Salu2

Mensaje por **msc hotline sat** » 01 Ago 2005, 21:19

Lo que posiblemente le ha entrado es el Backdoor CFB, que tiene su picaresca al ocultarse con privilegios de NTFS

Vea la descripcion de McAfee:

http://vil.nai.com/vil/content/v_126106.htm

Si es esto, pruebe el ELIBDCFB.EXE y nos cuenta el resultado como respuesta de este tema. gracias

ELIBDCFB

http://www.zonavirus.com/datos/descargas/100/ELIBDCFB.asp

saludos

ms, 1-08-2005

Ohhh · Mensaje por **Ohhh** » 01 Ago 2005, 23:50

ya vi la descripcion pero dudo que sea eso yo no ejecute ninguna archivo ni visite paginas extrañas..

por si acaso corri la utilidad que ofrece mcaffe pero no encontro nada proble con la utilidad que ofrecen utedes y me aparace un cuadrito que dice buscando ficheros viricos cuando termina me aparce otra ventan para que introduzca el nombre del archivo probe con todos los que dice en la descripcion de mcaffe pero me dice que ningun fichero existe.

esto me preocupa pueden ver mis contraseñas y todo lo que hago.

Mensaje por **msc hotline sat** » 02 Ago 2005, 07:39

Era lo mas probable dasas las indicaciones, y como alternativa la otra posibilidad que se conoce de la utilizacion de un gusano con el mismo nombre, MS.DLL, es el PWS-BINA, que tambien coincide que captura datos, contraselas y demas:

http://vil.nai.com/vil/content/v_100296.htm

Si tienes el fichero MS.DLL con un tamaño de unos 9 Kb, puede corresponder, sino, envianoslo a zonavirus@satinfo.es y lo analizariamos.

Hazlo anexando a un mail en cuyo texto pongas como referencia "REF PWS-BINA" , y te contestaremos como respuesta de este Tema

saludos

ms, 2-08-2005