BKP.Keylogger... ¿indestructible?

webosiris · #1 (**permalink**) 12/05/2005, 20:48

Hola, estoy teniendo el siguiente problema... el Ad-Adware me tira que tengo 6 claves del registro y 5 valores de registro con el BKP.Keylogger. El tema es que lo elimino, pero al reiniciar vuelve a aparecer [NOTA: si reinicio en normal, me aparecen de nuevo, si reinicio en modo de fallos no me los detecta pero cuando reinicio de nuevo en normal vuelven a aparecer]... me da la imprsión que hay un elemento nº 12 que hace aparecer a los demás, y ese no me lo detecta. ¿alguna idea (ElPiedra

)? El Spybot no detecta nada y el antispyware de microsoft tampoco (el de mayo... ¿debería probar otro?)

Todo esto lo hago con: el cable del adsl desconectado, el caché y cookies (de IE y Firefox) borrados, en modo de fallos y en normal, y con los antispywares actualizados (Ad-adware, Spybot y SpywareBlaster).

Le pasé el Panda Online y no me detecta ningún virus, pero si me detecta el spyware Adware:Adware/SaveNow pero no lo borra porque eso lo hace en la versión de $. En la enciclopedia de la misma panda pone:

Cita:

WhenU crea los siguientes ficheros en el subdirectorio SAVE, creado dentro del directorio Archivos de programa:
SAVE.EXE, SAVE.HTML, README.TXT y SAVEUNINST.EXE.
WhenU crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ WhenUSave
HKEY_CLASSES_ROOT\ WUSN.1

nada de lo que pone existe en mi pc... ¿podría tratarse de una falsa alarma? Busque con el buscador de wingows todas las carpetas "save" de mi equipo y no apareció ninguna extra a la de los juegos que tengo... así que por esta alarma estoy tranquilo. (le pasé también el HouseCall y no detectó nada)

Si alguien me puede ayudar estaría agradecido, porque sigo al pie de la letra las 11 reglas de oro y ni así puedo sacarme este keylogger de encima. ¿le tendré que empezar a tener cariño? Igual yo uso firefox y creo que solo afecta al ie, ¿no?

Por si es de utilidad les pego lo que me encuentra el Ad-adware:

Cita:

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : clsid\{1e1b2879-88ff-11d3-8d96-d7acac95951a}

BPK.Keylogger ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : clsid\{1e1b2879-88ff-11d3-8d96-d7acac95951a}
Valor :

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : pk.ie

BPK.Keylogger ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : pk.ie
Valor :

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : pk.ie.1

BPK.Keylogger ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : pk.ie.1
Valor :

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : typelib\{1e1b286c-88ff-11d3-8d96-d7acac95951a}

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\classes\clsid\{1e1b2879-88ff-11d3-8d96-d7acac95951a}

BPK.Keylogger ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\classes\clsid\{1e1b2879-88ff-11d3-8d96-d7acac95951a}
Valor :

BPK.Keylogger ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\explorer \browser helper objects\{1e1b2879-88ff-11d3-8d96-d7acac95951a}

BPK.Keylogger ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Monitoring Tool
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\explorer \browser helper objects\{1e1b2879-88ff-11d3-8d96-d7acac95951a}
Valor :

PD: utilizo WinXP SP1 actualizado y restaurar sistema en off

Votredieu · #2 (**permalink**) 12/05/2005, 21:11

Cita:

ni así puedo sacarme este keylogger de encima, ¿le tendré que empezar a tener cariño? Igual yo uso firefox y creo que solo afecta al ie, ¿no?

¿¿¿¿¿¿ eeh

?????? es un keylogger!!!!! si no sabes qué es, te explico a grandes rasgos...

Un keylogger es un programa que sirve para guardar toodo lo que se teclea e incluso ve

, en una computadora.

Asi que empieza a cambiar todas tus contraseñas, por tu propia seguridad

Saludos

webosiris · #3 (**permalink**) 12/05/2005, 21:25

me refería a que el sistema de claves de firefox es diferente al de IE, y por "pk.IE" me dio la impresión que está interesado por las claves que se ingresan en el Ie, pero capaz que me equivoco... =, ¿para qué tengo que cambiar las claves si no puedo sacarlo? ¿no te parece que de la misma forma me puede sacar las nuevas claves

?

Votredieu · #4 (**permalink**) 12/05/2005, 21:44

Cita:

Iniciado por webosiris

¿para qué tengo que cambiar las claves si no puedo sacarlo? ¿no te parece que de la misma forma me puede sacar las nuevas claves

?

Si, de hecho lo pensé hace un momento que lei un post en otro foro, de un usuario que también tiene problemas con el keylogger

Weno te ayudare...

Solo tienes que terminar el proceso bpk.exe y eliminar ese archivo, que usualmente está en C:\WINDOWS\SYSTEM32\BPK.EXE y también hay otro que se llama BPKWB.DLL que encuentras igual en system32

El save he visto en los logs de HijackThis, que esta en Archivos de programa y si no ves la carpeta ahi, asegurate de que tienes la opción de "Mostrar Carpetas y Archivos Ocultos", cuando la veas eliminala por completo.

Creo que eso es todo... Saludos

webosiris · #5 (**permalink**) 12/05/2005, 22:43

¡¡ dí en la tecla !!

el maldito keylogger es mucho + complicado que 2 archivos... en las 30 horas de vida que tuvo en mi pc, hizo 4200 impresiones de pantalla, generando 8400 archivo, con un total de 70 megas

... se me ocurrió (antes de ver tu mensaje, que lo vi cuando vine a escribir este) buscar con el "magnífico" buscador de win por "bpk" y saltaron dos archivos... me fijé la carpeta y resultó que toda la carpeta era del bpk, el maldito se instaló en system32/drivers/etc/capeta_variable

dento de esta carpeta hay otra llamada DATA donde estan las "fotos" que hace al monitor, y esos son los datos que manda. Ya revisé de nuevo con el Adadware y estoy limpio. Como dice una firma de un compañero de foro... ¡ muerto el perro se acaba la rabia!

Lo del save, no, no aparece ni la carpeta ni los ingresos del registro.
Gracias = por la ayuda.