Ayuda con posible spyware o malware (Solucionado)

Farookh_Bulsara · #1 (**permalink**) 21/12/2007, 07:40

Hola ,nose si es un spyware o un virus o que ,pero cuando estoy en internet me aparece un mensaje de advertencia en la bandeja (el tipico icono de signo de admiracion amarillo ) y me dice que hubo un error y que lo arregle o a veces me dice q hay un spyware y que lo arregle y cuando le digo "ok" ,me manda a esta pagina:
http://virusalarma.es/alarma/index.p...52001652545c01
y quiere descargar un archivo ,pero mi antivirus lo detecta como virus(el archivo q quiere descargarse) y lo elimina, como puedo saber que es lo que tengo? antes no me apasaba eso ,supongo q es un spyware ,como puedo eliminarlo, con mi antivirus? tengo el NOD 32 actualizado al dia

M@luco · #2 (**permalink**) 25/12/2007, 23:24

Hola.

Se trata de un malware Rogue , estos malwares se instalan sin permiso del usuario y despliegan falsas alarmas y con disque escaneos a tu pc , con resultados realmente alarmantes , pero todo eso es falso .Pero para eliminar realiza lo siguiente :

Descarga SmithFraud.exe (http://www.bleepingcomputer.com/resources/link243.html)
- Reinicia eh inicia en modo seguro.- (www.forospyware.com/292284-post4.html)
Dale Click sobre el Icono de SmithFraud.
Presiona cualquier letra para continuar.
Ahora Presiona la opcion "2" "Clean" enter.
Espera a que la herramienta lleve a cabo el proceso de desinfección. El fondo de Escritorio desaparecerá. Esto es normal.
Se abrirá una ventanita con la siguiente pregunta: Registry cleaning - Do you want to clean the registry?" (¿Desea limpiar el registro?)...Pulsa sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER.
El ordenador se reiniciará para teminar el proceso de limpieza. Si no se reiniciara automáticamente, reinícialo manualmente.
Después de reiniciar, se generará un archivo "rapport.txt", En
En caso de que el informe no se genere automatico ve a C:\, alli encontraras el informe ,su contenido lo copias y pegas aqui.

Salu2!
Me cuentas

Farookh_Bulsara · #3 (**permalink**) 28/12/2007, 16:50

Cita:

SmitFraudFix v2.274

Scan done at 18:33:06,01, 28/12/2007
Run from C:\Documents and Settings\Luis\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 sozo
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CFF411F-0DD8-4B9E-819B-2EA269E6C8C8}: NameServer=200.105.128.40,200.105.128.41
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CFF411F-0DD8-4B9E-819B-2EA269E6C8C8}: NameServer=200.105.128.40,200.105.128.41
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2CFF411F-0DD8-4B9E-819B-2EA269E6C8C8}: NameServer=200.105.128.40,200.105.128.41

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

ese el el reporte q me dio,ahora como elimino ese malware?
supongo q ese tambien es el causante de que cada que entre a una pagina ,me direcciones a otras paginas o buscadores que no quiero,osea no es la pagina q me direcciona sino ese malware(yo creo q es el) porque me pasa con varias paginas

Farookh_Bulsara · #4 (**permalink**) 29/12/2007, 08:33

tambien te dejo el log generado por el hijackthis
http://usuarios.lycos.es/sozowebsite...hijackthis.txt
este fue sacado despues de haber pasado el SmitfraudFix

Gpastor · #5 (**permalink**) 29/12/2007, 11:22

Hola Farookh_Bulsara, la versión de Hijackthis que estás usando está obsoleta por lo que te recomiendo que descargues e instales la versión 2 Final de Hijackthis y sigas estos pasos:

- Ve a INICIO-->EJECUTAR--> y escribes NET STOP Distributed Link Tracking Servers y presionas la tecla Enter.

- Ve a Inicio-->Ejecutar--> y escribe sc delete Distributed Link Tracking Servers y presionas la tecla Enter.

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo Seguro y desintala todo lo relacionado a BPK

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\Archivos de programa\BPK\perfectkwb.dll

O2 - BHO: (no name) - {A54A6F45-10C8-4E51-A14E-5F6083DB3B01} - C:\WINDOWS\system32\bitsprx3f.dll

O2 - BHO: (no name) - {FCD7575B-E321-47B2-95A4-CA957C370D7E} - c:\windows\system32\avicapi.dll

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O4 - HKLM\..\Run: [perfectk] C:\Archivos de programa\BPK\perfectk.exe

O20 - Winlogon Notify: ircjedni - C:\WINDOWS\SYSTEM32\avicapi.dll

O23 - Service: Distributed Link Tracking Servers (TrkNetsSvcs) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

5.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

C:\Archivos de programa\BPK\<-- Elimina la carpeta y todo su contenido

C:\WINDOWS\system32\bitsprx3f.dll

c:\windows\system32\avicapi.dll

C:\WINDOWS\system32\rpcc.exe

C:\WINDOWS\svchost.exe<-- CUIDADO con eliminar el que se encuentra dentro de la carpeta system32

6.- Pasa el Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

7.- Descarga el Super Antispyware y realiza un escaneo con el, luego instala SpywareBlaster

8.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

9.- Deshaz los pasos 1 y 2.

De preferencia imprime las indicaciones para que se te haga mas fácil seguirlas.

Saludos

Farookh_Bulsara · #6 (**permalink**) 30/12/2007, 17:48

pero el BPK es un keylogger que uso en mi pc,es ese el responsable?

Gpastor · #7 (**permalink**) 30/12/2007, 19:43

Cita:

Iniciado por Farookh_Bulsara

pero el BPK es un keylogger que uso en mi pc,es ese el responsable?

Si tu mismo instalaste el Keylogger, tus razones tendrás, pero ten en cuenta que la mayoría de antivirus lo detecta como infección ya que su funcionamiento es la espiar.

Obvia esa entrada y sigue con las demás.

Saludos

Farookh_Bulsara · #8 (**permalink**) 31/12/2007, 07:21

porfavor me podrias explicar que hacen estos comandos;
NET STOP Distributed Link Tracking Servers
sc delete Distributed Link Tracking Servers

Farookh_Bulsara · #9 (**permalink**) 31/12/2007, 10:05

este es el log del hijackthis del nuevo , no hice todavia ninguno de los pasos que me sugeriste,como me dijiste que el hijackthis que usaba estaba obsoleto ,pense mostrarte el nuevo para ver que dices
http://usuarios.lycos.es/sozowebsite/hijackthis.log
ah por cierto ,puedes responderme acerca de los comandos de mi anterior post?

Gpastor · #10 (**permalink**) 31/12/2007, 12:41

Cita:

Iniciado por Farookh_Bulsara

porfavor me podrias explicar que hacen estos comandos;
NET STOP Distributed Link Tracking Servers
sc delete Distributed Link Tracking Servers

Net Stop detiene un servicio
sc delete elimina un servicio

Con la nueva versión de Hijackthis sigue los pasos de mi anterior post.

Saludos

Farookh_Bulsara · #11 (**permalink**) 31/12/2007, 20:46

el comando NET STOP Distributed Link Tracking Servers ,no funciono asi que tuve q hacerlo manualmente
herramientas administrativas->servicios ,pero note que este servicio(Distributed Link Tracking Servers ) estaba detenido ,entonces no hice nada
el comandosc delete Distributed Link Tracking Servers tampoco funciono asi que decidi hacerlo desde el cmd y me dio este error:

Cita:

[SC] OpenService FAILED 1060:

El servicio especificado no existe como servicio instalado.

que hago ahora?

Gpastor · #12 (**permalink**) 02/01/2008, 10:32

Si no puedes con un paso, óbvialo y sigue con los demás, mientras mas te demores, la infección puede causar mas consecuencias negativas de las que ya está ocasionando.

Saludos

Farookh_Bulsara · #13 (**permalink**) 02/01/2008, 16:12

ya hice hasta el paso 5 ,pero me dieron los siguientes problemas:
al ejecutar el hihackthis no me dejaron borrar estos registros:

Cita:

O2 - BHO: (no name) - {A54A6F45-10C8-4E51-A14E-5F6083DB3B01} - C:\WINDOWS\system32\bitsprx3f.dll

O2 - BHO: (no name) - {FCD7575B-E321-47B2-95A4-CA957C370D7E} - c:\windows\system32\avicapi.dll

O20 - Winlogon Notify: ircjedni - C:\WINDOWS\SYSTEM32\avicapi.dll

O23 - Service: Distributed Link Tracking Servers (TrkNetsSvcs) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

y me salio este mensaje:

lo demas se elimino,a exepcion del BPK que es el keylogeer que uso en mi pc y no lo toque
luego quise eliminar los archivos

Cita:

C:\WINDOWS\system32\bitsprx3f.dll

c:\windows\system32\avicapi.dll

pero no me dejan(inclusive con el FileASSASSIN,me dice que no se pudo borrar[si,si ,marque la casilla "liminar el archivo" y las otras casillas mas,osea las que ya vienen marcadas]), y estos archivos ya no estan:

Cita:

C:\WINDOWS\system32\rpcc.exe

C:\WINDOWS\svchost.exe

ahora que hago?
ayuda porfavor

ah y otra cosa ,cuando reinicio la maquina a prueba de errores con que cuenta entro con la de administrador o con la que uso?

P.D.Muchas gracias gpastor por la ayuda

Gpastor · #14 (**permalink**) 02/01/2008, 16:31

Cita:

ah y otra cosa ,cuando reinicio la maquina a prueba de errores con que cuenta entro con la de administrador o con la que uso?

Es preferible entrar con la cuenta de Administrador.

Sigue estos pasos:

- Descarga la herramienta ComboFix y guárdala en tu escritorio.
Haz doble clic en el archivo combofix.exe y sigue los avisos.
Cuando termine este generará un reporte que tendrías que pegar en este mismo mensaje.

Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia la máquina, pega un nuevo log de Hijackthis y uno de ComboFix, luego nos comentas los resultados.

Saludos

Farookh_Bulsara · #15 (**permalink**) 02/01/2008, 17:53

bueno, le cuento como hice:
ejecute el combofix desde mi cuenta de usuario que utilizo( que es parte del grupo Administradores),hizo sus cosas luego reinicio la maquina y genero un log que es este:
log de ComboFix
luego ejecute el jihackthis y me dio este log:
Log de jihackthis

ahora que ? por lo visto no puede borrar esas librerias,que hago? ayuda porfavor
mis padres me estan riñiendo porque utilizan el buscador(google) para algun trabajo y les manda a otras paginas(otros buscadores en el que busca la palabra buscada en google o paginas que son medio eroticas,no pornograficas [mas bien] sino paginas en donde aparecen chicas muy sexys)
ayuda porfavor

Gpastor · #16 (**permalink**) 02/01/2008, 20:00

Sigue estos pasos:

1.-Abrir el Notepad

Clic en INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega este código dentro del Notepad

Código HTML:

KillAll::

File::
C:\WINDOWS\system32\ivuzxugc.dat
C:\WINDOWS\system32\hmmpflxj.dat
C:\WINDOWS\system32\biporcjy.dat
C:\WINDOWS\system32\xbferqsj.dat
C:\WINDOWS\system32\jsaxhtvk.dat
C:\WINDOWS\system32\avicapi.dll
C:\WINDOWS\system32\drivers\wjikhujp.dat
C:\WINDOWS\system32\bitsprx3f.dll
C:\WINDOWS\svchost.exe 

Driver::
wjikhujp.dat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A54A6F45-10C8-4E51-A14E-5F6083DB3B01}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FCD7575B-E321-47B2-95A4-CA957C370D7E}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecdc9823-b326-11dc-8cb2-005056c00001}]

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia y nos cuentas los resultados. junto con un nuevo reporte de ComboFix.

Saludos

Farookh_Bulsara · #17 (**permalink**) 02/01/2008, 21:40

todo esto hago en modo a prueba de erores, con mi cuenta de usuario y desactivada la opcion de restaurar sitema y mostrando todos los archivos ocultos y del sistema?
podrias explicarme mejor ese parte del script ,que es lo que hace?

luego de arrastrar el archivo CFScript.txt al combofix ,reinicio y luego ejecuto el combofix, y le muestro los resultados? es asi?

Gpastor · #18 (**permalink**) 02/01/2008, 22:44

Solo sigue los pasos tal y como están, no le añadas ni le suprimas nada.

En realidad es la primera vez que me hacen tantas preguntas para poder desinfectar su equipo, comprendo la desconfianza ante algo desconocido. ComboFix es una herramienta que recopila varias herramientas en una, el script que te indico sirve para eliminar los archivos, drivers y entradas de registro pertenecientes a la infección.

Saludos

Farookh_Bulsara · #19 (**permalink**) 03/01/2008, 07:34

bueno ya lo hice ,estes son los logs:
Log del combofix
y este del hijachthis
Log del hijachthis

cual es el siguiente paso?

P.D: estos logs los saque desde mi cuenta de usuario ,habilitada la opcion de restauracion del sistema y no estaba en modo a prueba de fallos,sirve ?

ah y nose porque el combofix me lo cambio la fecha a 4 de enero ,aqui recien comenso el 3 de enero,ya puedo cambiarlo a lo normal?

Gpastor · #20 (**permalink**) 03/01/2008, 09:07

Solo hay una entrada por reparar en el log de Hijackthis, sigue estos pasos:

- Ve a INICIO-->EJECUTAR--> y escribes Services.msc y presionas la tecla Enter.

- En la lista que aparece debes buscar Distributed Link Tracking Servers, le das clic derecho y eliges la opción "Propiedades"

- El tipo de Inicio de este debe estar "Deshabilitado" y el estado del servicio debes presionar el botón "Detener".

- Presionas el botón Aceptar y cierras la ventana de servicios.

- Ve a Inicio-->Ejecutar--> y escribe sc delete Distributed Link Tracking Servers y presionas la tecla Enter.

- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a esta entrada:

O23 - Service: Distributed Link Tracking Servers (TrkNetsSvcs) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

Por lo demás los reportes están limpios

Para terminar solo te quedaría quitar CF de la siguiente manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

Esto realizara las siguientes tareas:

Se borraran:
- ComboFix: sus archivos y carpetas.
- VundoFix: copias de seguridad (si está presente)
- La carpeta C:\Deckard (si está presente)
- La carpeta C: _OtMoveIt (si está presente)
Restablece la configuración del reloj.
Ocultar extensiones de archivo (si es necesario.)
Oculta los archivos que estaban ocultos
Reactiva el "Restaurar Sistema"

Coméntanos como está funcionando el sistema ahora.

Saludos

Farookh_Bulsara · #21 (**permalink**) 03/01/2008, 10:28

en el log del jihackthis ya no aparece ese registro :

Cita:

O23 - Service: Distributed Link Tracking Servers (TrkNetsSvcs) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

y el servicio Distributed Link Tracking Servers sigue en mi lista de servicios(herramientas administrativas->servicios) es normal?
de todas formas lo desinstalo el combofix?

Gpastor · #22 (**permalink**) 03/01/2008, 20:42

Si el servicio está detenido no hay ningún problema y puedes eliminar el ComboFix como te indiqué. Coméntanos como está funcionando el sistema ahora.

Saludos

Farookh_Bulsara · #23 (**permalink**) 05/01/2008, 10:31

ya todo anda bien em mi sistema ya no me redirecciona ,pero que es lo que tengo que hacer si e vuelve a pasar? ejecutar directamente el combofix?
como saben si no estan modificando registros o archivos del sistema?
del primer post que pusiste gpastor solo hice hasta el paso 5,pero al parecer fue mas eficiente el comboix,
bueno en otra ocacion que hago?

Gpastor · #24 (**permalink**) 05/01/2008, 11:57

No debes usar Hijackthis ni ComboFix si no sabes el funcionamiento de estos, esto puede ser contraproducente si eliminas algo que desconoces. Siempre es bueno contar con asesoría de alguna persona que maneje bien estos programas, ya sabes que en el foro puedes recibir este tipo de ayuda.

Para monitorear los cambios en tu registro puedes instalar Spybot Search & Destroy y activar su módulo Tea Timer.

Saludos