Ayuda tengo un problema Problema.

Arturo_zero · Junio 29, 2008, 08:28:19 PM

Bueno lo que pasa es que tengo un virus o troyano, que cada que abro una carpeta hace que se abra mi navegador en una url y emiesa a descargar un archivo.

La pagina que se abre es esta -http://free-viruscan.com/id/4912933/4/1/-
Mi antivirus me la detecta como maligna , aunque no hace nada para quitarla. (ojo la puse con guiones para que no aparesca como link.)

El archivo que se descarga es este ievac.exe

El análisis del archivo en Virus total.

CitarMotor antivirus    Versión    Última actualización    Resultado
AhnLab-V3    2008.6.27.1    2008.06.29    -
AntiVir    7.8.0.59    2008.06.29    ADSPY/AdSpy.Gen
Authentium    5.1.0.4    2008.06.29    -
Avast    4.8.1195.0    2008.06.28    -
AVG    7.5.0.516    2008.06.29    -
BitDefender    7.2    2008.06.30    -
CAT-QuickHeal    9.50    2008.06.28    -
ClamAV    0.93.1    2008.06.30    -
DrWeb    4.44.0.09170    2008.06.29    Trojan.Fakealert.origin
eSafe    7.0.17.0    2008.06.29    -
eTrust-Vet    31.6.5911    2008.06.27    -
Ewido    4.0    2008.06.27    -
F-Prot    4.4.4.56    2008.06.29    -
F-Secure    7.60.13501.0    2008.06.26    -
Fortinet    3.14.0.0    2008.06.29    -
GData    2.0.7306.1023    2008.06.30    -
Ikarus    T3.1.1.26.0    2008.06.30    AdWare.AdSpy
Kaspersky    7.0.0.125    2008.06.30    -
McAfee    5327    2008.06.27    -
Microsoft    1.3704    2008.06.30    Trojan:Win32/Delflob.I
NOD32v2    3225    2008.06.29    -
Norman    5.80.02    2008.06.27    -
Panda    9.0.0.4    2008.06.29    -
Prevx1    V2    2008.06.30    -
Rising    20.50.62.00    2008.06.29    -
Sophos    4.30.0    2008.06.30    IE Defender-Installer
Sunbelt    3.0.1176.1    2008.06.26    -
Symantec    10    2008.06.30    -
TheHacker    6.2.96.364    2008.06.28    -
TrendMicro    8.700.0.1004    2008.06.27    -
VBA32    3.12.6.8    2008.06.29    -
VirusBuster    4.5.11.0    2008.06.23    -
Webwasher-Gateway    6.6.2    2008.06.29    Ad-Spyware.AdSpy.Gen
Información adicional
Tamano archivo: 919622 bytes
MD5...: a1a272282d85e8e4749480c5af686bc4
SHA1..: c729bb52952766138f8b4b406bf7842ba7e42ae7
SHA256: aa45b60fb99412952727504b844688df5ce96737e4a38ae1149107e0961c796b
SHA512: 3453d5f3ef21b26ddb5c89f18bea3ef47f471043ae490d46e593d8efefcfc5cd
f3eb32acd93cb31e5c9213bc6fe8f48c86d7d40e41d9e62725f3db8c40eb95f5
PEiD..: -
PEInfo: PE Structure information

Y este es mi análisis de mi pc con HijackThis

CitarLogfile of HijackThis v1.99.1
Scan saved at 09:14:16 p.m., on 29/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mx One\mogtr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Arturo\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 69.73.140.32 www.bancolombia.com
O1 - Hosts: 69.73.140.32 bancolombia.com
O1 - Hosts: 69.73.140.32 www.grupobancolombia.com
O1 - Hosts: 69.73.140.32 grupobancolombia.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WinView plugin - {8AE578E0-6DF5-41E0-869F-F65A32D2F6BD} - C:\WINDOWS\system32\xmlview.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Mx_Ukey] C:\Archivos de programa\Mx Ukey\blocker.exe
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\msgrapp.8.5.1302.1018.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WBSrv - D:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Ayuda porfa es urgente. Ademas Repare mi sistema operativo Windows xp y no mejoro mi condicion . Y ya intente con los siguientes antivirus Nod32 eset, Kaspesky, Panada.

•° Merinillo °• · Junio 29, 2008, 09:02:53 PM

pues de que es un virus y una pag maligna si xq esto es lo que aparece

Arturo_zero · Junio 29, 2008, 09:49:41 PM

Si es eso lo que aparece cada que abro una ventana.

Kikesan · Junio 29, 2008, 10:15:53 PM

Hola

Tu log de hijackthis se ve bastante mal jeje ademas de que estas empleando una version antigua. Usa la version 2.0.2.

Descargate SUPERAntispyware free y hazte un escaneo, despues pasate Spybot Search& destroy y cuentas como va todo.

EDITO: Porfavor enviame el archivo con el que hiciste el analisis

Saludos

Red Mx · Junio 30, 2008, 06:33:34 AM

Elimina las siguiente entradas realiza otro scan las selecciones y le das en fixcheck preferentemente a modo a prueba de fallos

Secuestro del navegador

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008

Un posible phishing

O1 - Hosts: 69.73.140.32 www.bancolombia.com
O1 - Hosts: 69.73.140.32 bancolombia.com
O1 - Hosts: 69.73.140.32 www.grupobancolombia.com
O1 - Hosts: 69.73.140.32 grupobancolombia.com

Posibles infecciones con nombre falso

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: WinView plugin - {8AE578E0-6DF5-41E0-869F-F65A32D2F6BD} - C:\WINDOWS\system32\xmlview.dll

Este componente posiblemente contenia el adware

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

y elimina el archivo

C:\WINDOWS\system32\FreezeScreenSaver.exe

Pasa el ElistarA

http://www.zonavirus.com/datos/descargas/78/EliStarA.asp

Luego pasa un buen antivirus no se si el nod32 lo tengas con "licencia" y lo puedas actualizar si puedes instalate el AntiVir gratuito

http://dscargar.com/Avira%20AntiVir%20Personal.htm

ese antivirus te elimina ese bicho y mas.

por que ni el spybot ni el ad-aware lo van a detectar todavia.

Arturo_zero · Junio 30, 2008, 09:02:23 AM

Hola gracias rojo

ya quedo resuelto gracias red lo que me digiste funciono.

Deegu! · Junio 30, 2008, 01:48:02 PM

bueno amigo Arturo lo mejor es tener un buen AV y actualizarlo para evitar estos dolores de cabeza je je je

cerramos

Ayuda tengo un problema Problema.

Arturo_zero

•° Merinillo °•

Arturo_zero

Kikesan

Red Mx

Arturo_zero

Deegu!