Ante todo, hola a todos !!
Les comento mi problema:
Hace exactamente dos días empecé a tener problema en mi computadora, primero al abrir mi el Firefox me saltó una ventana de aviso de virus de mi antivirus (nod32) avisándome que habia sido encontrado el Spy.vbsat.j en mi sistema. Luego navegando con Firefox de golpe se me comenzaban a abrir ventanas del Internet Explorer con publicidad de "excelentes" anti-spywares (incluso a veces las ventanas se me abrian en el mismo Firefox). No estoy seguro de donde puedo haber venido este problema, pero muy probablemente sea a causa de mis padres que recien estan aprendiendo navegar y temo que hayan entrado en un sitio que no debían.

Procuré correr un scan completo con el Spyboot S&D, y encontró que tenia el smitfraud-c.toolbar888. Buscando en este mismo foro encontré a varios usuarios con este problema, pero no quize arriesgarme a probar ninguna de las soluciones por las varias respuestas que vi en diferentes temas (muy posiblemente porque cada uno tenia un problema ligeramente diferente).
El problema de escanear y borrar con el Spyboot es que cada vez que reinicio el sistema y corro el escaneo sigo encontrando lo mismo, por lo que me temo no lo estoy limpiando en absoluto. Lo único que hize aparte del Spyboot fue correr un chequeo del sistema con mi antivirus (el nod32) - que no encontró nada - luego con el Kapersky Online - que si encontro una sola entrada y fue eliminada (lamento no haber guardado el log de los resultados, pero fue antes de entrar a este sitio) y luego con el ActiveScan de Panda, que no encontró nada.
También (desde modo a prueba de fallos) corrí el programa llamado "SmitFraudFix", según las recomendaciones que encontré en un foro anglosajón (nuevamente todo esto antes de llegar a este foro).

Les adjunto dos entradas sospechosas que encontré en la herramienta de BHO del Spyboot.

Log del Spyboot
{51A39D43-CB2D-4735-A82F-ECCBA6ED1319} ()
BHO name:
CLSID name:
Path: C:\WINDOWS\system32\
Long name: nnnlijg.dll
Short name:
Date (created): 13/05/2007 14:39:20
Date (last access): 14/05/2007 21:23:28
Date (last write): 13/05/2007 14:39:20
Filesize: 26166
Attributes: archive
MD5: 70A82955EB10EA3D576D05BEDF29B49C
CRC32: 30D354A2

{B9ABD348-7A6E-49E0-A765-7F651961C2BD} ()
BHO name:
CLSID name:
Path: C:\WINDOWS\system32\
Long name: vtutq.dll
Short name:
Date (created): 13/05/2007 14:49:08
Date (last access): 14/05/2007 21:23:10
Date (last write): 13/05/2007 14:49:12
Filesize: 285268
Attributes: hidden sysfile
MD5: D96962371518FD78AEA05D3BB619ED5D
CRC32: 0AA47EA1

Desde ya, muchas gracias

hola ....... :biggrin:

pasa un escaneo con... :afirmar:
Ewido (http://www.ewido.net/en/onlinescan/) ….le das al boton de Remove Infections cuando termine el scan
Kaspersky (http://www.kaspersky.com/kos/spanish/kavwebscan.html) ... nos pegas el reporte que te genere el Kaspersky

chao....:biggrin: ... nos cuentas como te fue....:afirmar:

compermiso orion_ap

Descargue este programas, (pero no las ejecutes aun).

SmitfraudFix (http://siri.geekstogo.com/SmitfraudFix.zip)

SpyBot Search & Destroy 1.4 (ftp://ftp.freenet.de/pub/filepilot/windows/security/spybot/spybotsd14.exe)

DelPSGuard
(http://www.forospyware.com/attachments/forum16/759d1178811584-delpsguard.zip)


Apague "Restaurar Sistema" (http://www.forospyware.com/t68195.html#post292280)

Inicia el sistema en "Modo a Prueba de Fallos" (http://www.forospyware.com/t68195.html#post292280)

Ejecutar las siguientes aplicaciones:


SmitfraudFix

*Nota* Para ejecutar la herramienta SmitfraudFix siga estos pasos:


Descomprime el archivo RAR en una carpeta.


Ve a la carpeta SmitfraudFix y ejecuta el programa smitfraudfix.cmd.


Presione cualquier tecla, y luego la tecla 2. Espere hasta que termine el escaneo.


Si pregunta: Registry cleaning - Do you want to clean the registry? presione la tecla Y.


Si pregunta: Replace Infected File? presiona la tecla Y.Reinicie el ordenador.

ejecuta el spybot S&D (elimina lo que te encuentre)

luego ejecuta el DelPSguard (pega el reporte que te genere aqui) (lee su manual muy importante) (http://www.forospyware.com/t43227.html)

luego pasas estos 2 online

ewido online (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html) (cuando termine dale en remove infections)

kaspersky online (http://www.kaspersky.com/kos/english/kavwebscan.html)(pega el reporte entero que te genere)

te espero............:biggrin:

salu2:Bien:

Olaaaaa a los dos.

Lalo, no te alebrestes, el SmitFraudFix es como un DelPSGuard, pero abierto para todo publico, asi es que lo omitiremos.
Tambien el DelPSGuard lo omitiremos por el momento, no sabemos si realmente tenga al SmitFraud de huesped.
Primero haz lo que te dijo orion, pasale el Ewido y el Kaspersky, despues de eso le pasas el Spybot en Modo seguro (http://www.forospyware.com/292284-post4.html) y nos pegas los reportitos del KAS y del Ewido.

Salu2!

Lalo, no te alebrestes

estuvo buenisimo.....:risa: :risa: :risa:

Jajajaja... gente, gente, no se peleen... :biggrin:

Bueno, les comento. Seguí los pasos recomendado por Deoxys, y los resultados tanto del ewido y del kapersky no fueron del todo satisfactorios, en el sentido que solo detectaron cookies de seguimiento del internet explorer (navegador que no uso, por lo que las cookies se deben crear cada vez que se me abren esas ventanas molestas que comentaba).

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\Almirante Ross\Cookies\almirante ross@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Documents and Settings\Almirante Ross\Cookies\almirante ross@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.16:C:\Documents and Settings\Almirante Ross\Datos de programa\Mozilla\Firefox\Profiles\57c45pxe.default \cookies.txt
Risk: Medium

===============

KASPERSKY ONLINE SCANNER REPORT
Tuesday, May 15, 2007 2:02:54 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 15/05/2007
Kaspersky Anti-Virus database records: 300867
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 91887
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 01:08:34

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked skipped
C:\Archivos de programa\Eset\infected\JY4ACAAA.NQF Infected: Trojan-PSW.Win32.Steam.f skipped
C:\Archivos de programa\Eset\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Temp\BCG89C.tmp Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Temp\Perflib_Perfdata_4fc.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Almirante Ross\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped

==============

Por su parte, el Spyboot me detecto (y posteriormente eliminó) las siguientes cookies de seguimiento:

MediaPlex
SystemDoctor2006
Winsoftware.WinAntiVirusPro2006
Winsoftware

Tenia ganas de hacer un scan con el Superantispyware y el AVG anti-spyware pero no tengo tiempo ahora (aca en Argentina son las 3 de la mañana y debo levantarme a las 9 para trabajar... la pucha!).

Por otro lado, siguen apareciendo eso BHO's que comentaba en mi primer post. Apuntando a vtutq.dll y a nnnlijg.dll(este directamente se hayaba oculto) dentro de System32. Por mas que intento borrar la entrada de registro de ambos, siguen creandose automáticamente, por lo que tiene que haber algo mas que los esté generando.
¿Alguna recomendación para poder borrarlos? (Ya que se estan ejecutando sobre winlogon.exe, y digamos que no puedo cerrar el proceso para poder realizar una eliminacion satisfactoria).

Desde ya, gracias.

Hola.

como no estan respondo yo .

:1:Lee este tutorial para la eliminacion de el Trojan vundo ya que estas infectado con el , sigue los pasos tal y como estan :

Eliminar Troyan Vundo *TUTORIAL* (http://www.forospyware.com/t14727.html)


:2:Solo pega el reporte de el Panda , por favor , el de hijackthis no lo pegues aun ya que no es necesario no lo pegues ok


suert3!

Eliminar Troyan Vundo *TUTORIAL* (http://www.forospyware.com/t14727.html)

suert3!

Angel, desde ya gracias por tu respuesta.
Hoy a la tarde / noche voy a probar tu recomendación a ver si puedo librarme de mi "amiguito".
Estuve leyendo el tutorial de eliminacion del Vundo, y hay algo que no me quedó claro y aprovecho para preguntarlo: El analisis y los fix con las siguientes herramientas: SuperAntiSpyware, DelPSGuard, VundoFix.exe y VirtumundoBeGone ¿Los debería hacer arracando el sistema en modo seguro, verdad?

no, relizalos en modo normal, ya que no tienes (o no lo has inidicado) problemas para usar las herramientas, es decir que al usarlas se reinicie la pc o algo asi, si eso sucediera realizalos en modo seguro, lo que si debes hacer es apagar restaurar sistema como te lo indica el enlace..
bye..

Muchachos, estuve realizando los pasos según lo recomendado en el topic de eliminación del Troyan Vundo y esto fue lo que obtuve:

Resultados de SuperAntiSpyware (Detectados y Borrados)
Adware.Vundo Variant
Trojan.WinFixer
Unclassified.Oreans32
Trojan.Downloader-spytool

El DelPSGuard no encontró ni Carpetas y Archivos infectados ni programas malwares

El VundoFox me devolvió lo siguiente
Listing files found while scanning....
C:\WINDOWS\system32\nchctwnw.ini
C:\WINDOWS\system32\wnwtchcn.dll

Beginning removal...
Attempting to delete C:\WINDOWS\system32\nchctwnw.ini
C:\WINDOWS\system32\nchctwnw.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\wnwtchcn.dll
C:\WINDOWS\system32\wnwtchcn.dll Has been deleted!
Performing Repairs to the registry.
Done!

El VirtumundoBeGone me tiró lo siguiente

[05/15/2007, 18:26:36] - Searching for Browser Helper Objects:
[05/15/2007, 18:26:36] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[05/15/2007, 18:26:36] - BHO 2: {51A39D43-CB2D-4735-A82F-ECCBA6ED1319} ()
[05/15/2007, 18:26:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/15/2007, 18:26:36] - No filename found. Continuing.
[05/15/2007, 18:26:36] - BHO 3: {ADDF36EF-04C4-4A87-A16E-E2C20471DF1F} ()
[05/15/2007, 18:26:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/15/2007, 18:26:36] - No filename found. Continuing.
[05/15/2007, 18:26:36] - BHO 4: {F156768E-81EF-470C-9057-481BA8380DBA} (FlashGet GetFlash Class)
[05/15/2007, 18:26:36] - Finished Searching Browser Helper Objects
[05/15/2007, 18:26:36] - Finishing up...
[05/15/2007, 18:26:36] - Nothing found! Exiting...

Y por ultimo, el resultado del Panda ActiveScan es lo siguiente:

Incidencia Estado Elemento

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Almirante Ross\Datos de programa\Thunderbird\Profiles\default.jsn\cookies. txt[.ciudad.com.ar/]
Spyware:Spyware/Virtumonde No desinfectado C:\VundoFixBackups\wnwtchcn.dll.bad
Herramienta potencialmente no deseada:Application/Processor No desinfectado D:\Descargas\temp\VirtumundoBeGone.exe

(Y sigo aca porque no me dejo agregar mas en el mensaje anterior, limite del foro supongo).

Como resultado de todo esto note dos cambios:
1 - La computadora esta mas rapida (mas que nada en la apertura de el explorador de windows y del mozilla firefox), al menos con el mismo rendimiento que tenia antes de contraer al lindo "amiguito".
2 - Por ahora no se me han abierto mas ventanas de ningun tipo ni he tenido mas avisos de nada por parte del antivirus.

De todas maneras hace menos de 20 minutos que he terminado de hacer todo y me gustaría poder darle un poco mas de probada al sistema antes de declararlo libre de esta basura.

Vuelva o no vuelva tener problemas, volveré a pasar por aqui para mi comentario final (en caso de no tener mas problemas) y dar por solucionado el problema.

Hola.

Parece que las herramientas hicieron su trabajo no ?::pensar::


Incidencia Estado Elemento

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Almirante Ross\Datos de programa\Thunderbird\Profiles\default.jsn\cookies. txt[.ciudad.com.ar/]
Spyware:Spyware/Virtumonde No desinfectado C:\VundoFixBackups\wnwtchcn.dll.bad
Herramienta potencialmente no deseada:Application/Processor No desinfectado D:\Descargas\temp\VirtumundoBeGone.exe
Hoy 11:42:52


:1:El reporte solo muestra cookies .Borrala con Ccleaner (http://www.forospyware.com/t39511.html).

En lo demas son falsos postivos ya que son las herramientas que utilizamos , pero por otro lado puede ir a eliminar el backup que crea la herramientas VundoFix aqui esta la ruta por si gusta eliminar :C:\VundoFixBackups\wnwtchcn.dll.bad


Parece que toda va bien o por lo menos eso me hacen pensar los resultado ?::pensar::



Tienes mas problemas o ya no ?

Angel, no estás equivocado. Después de probar la computadora durante un par de horas (y de paso de sacarme la duda pasando nuevamente el superantispyware y el spybot y no encontrar nada), no he tenido mas problemas en lo que se refiere a la lentitud del sistema ni a nuevas ventanas mágicas del Internet Explorer o el Firefox. También han desaparecido esos BHO's al revisarlos tanto con el spybot como con el hijackthis.

Desde ya, muchisimas gracias a todos por la ayuda, y bueno, no dudaré en volver a pasar por aqui ante algun otro inconveniente. (o de recomendar el sitio a algun conocido que tambien llegue a tener problemas con spywares).

Saludos a todos

Angel, no estás equivocado. Después de probar la computadora durante un par de horas (y de paso de sacarme la duda pasando nuevamente el superantispyware y el spybot y no encontrar nada), no he tenido mas problemas en lo que se refiere a la lentitud del sistema ni a nuevas ventanas mágicas del Internet Explorer o el Firefox. También han desaparecido esos BHO's al revisarlos tanto con el spybot como con el hijackthis.

Desde ya, muchisimas gracias a todos por la ayuda, y bueno, no dudaré en volver a pasar por aqui ante algun otro inconveniente. (o de recomendar el sitio a algun conocido que tambien llegue a tener problemas con spywares).

Saludos a todos


*Tema Solucionado*