Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Te agradezco el apoyo infinitamente, no te preocupes, entiendo tus sugerencia y las agradezco y no alcance a terminar el mensaje anterior, parece descortez.

Bueno, regreso el spam y pishing a mi correo, quite el spamfigther y regrese a spybot para que sea el antivirus que me revise el correo (en el menu de msn, ahi hay una parte donde pones con que deseas limpiar tu correo, me funciono mejor con el spybot)
Ambas fueron sugerencias tuyas, jamas quiero quitar el merito del conocimiento, estoy mas tranquila cn lo que elimine, voy a terminar de revisar los archivos que mencione antes que encontre en archivos de programa...ojo que encontre algunas cositas en lo que elimine, de ahi venian algunos problemas, estaban escondidos, fue cuando estaba buscando driver para mi quemador, otras cosas de otros programas, use el REVO, fue fabuloso, lo recomiendo, aun estoy aprendiendo a usarlo, pero me va mejor que antes, estoy mas tranquila y espero que mi experiencia en este problema le sirva a los demas, mucha suerte y muchas gracias, poco a poco eliminando basuritas.


GRACIAS

con esto querras decir que el tema a finalizaddo?

por que si aun ahy algo que aser estamos a toda dispocision eh !!

Bueno, es que ya no quiero molestar, es mucho abuso, jejeje...si hay algo mas, estuve buscando un archivo que mencione: WS2IFSL

Encontre informacion respecto a eso que aca la pongo, espero no se molesten que ponga cosas de otro foro, pero al cesar lo que es del cesar:

Troj/Back.Riler.C. Troyano de acceso remoto
http://www.vsantivirus.com/back-riler-c.htm

Nombre: Troj/Back.Riler.C
Nombre NOD32: Win32/Riler.C
Tipo: Caballo de Troya de acceso remoto
Alias: Riler.C, BackDoor-BCB, TR/Dldr.Weis.D.5, Troj/Riler-D, Trojan.Riler, Trojan.Win32.Riler.c, Win32/Riler.C, Win32:Trojan-gen
Fecha: 16/dic/04
Plataforma: Windows 32-bit
Tamaño: variable

Caballo de Troya que abre una puerta trasera (backdoor), en los equipos infectados.

Este componente intenta conectarse con el siguiente sitio para recibir comandos de un usuario remoto (el sitio podría variar):
newsg.vicp.net

Cuando se ejecuta, crea los siguientes archivos:

c:\windows\system32\sporder.dll
c:\windows\system32\synusb.dll
c:\windows\system32\winmedl.dll
c:\windows\system32\winssi.exe

Donde SPORDER.DLL es un archivo del sistema que no contiene código malicioso, pero es usado por el troyano para su propio funcionamiento.

SYNUSB.DLL contiene código malicioso y es parte del troyano.

WINMEDL.DLL es un archivo de texto encriptado, que contiene la dirección a la que debe conectarse

WINSSI.EXE es el ejecutable propiamente dicho del troyano.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El troyano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SynUSB Manager = rundll32.exe SynUSB.dll,RunDll32

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DisplayLog = 1

HKLM\SYSTEM\CurrentControlSet\Services\WS2IFSL

WS2IFSL es un servicio creado por el troyano para llevar a cabo sus acciones.

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\sporder.dll
c:\windows\system32\synusb.dll
c:\windows\system32\winmedl.dll
c:\windows\system32\winssi.exe

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows

3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisplayLog = 1

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SynUSB Manager = rundll32.exe SynUSB.dll,RunDll32

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\WS2IFSL

7. Haga clic en la carpeta "WS2IFSL" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
...........................

Es que busco algunas cosas que me llaman la atencion por mi cuenta y encontre esto ahora que estoy eliminando cosas, espero no sea grave, por lo pronto sigo usando herramientas de este foro porque me han sifo de gran ayuda y me ayudan a estar tranquila.

Ademas me preocupa otra cosita: p3p/history , aca algo referente a eso...


http://www.codehard.com.ar/detras-del-spywareblaster
"Detrás del SpywareBlaster...
oct 30, 21:52Ubicado en Anti-Malwares
Hola gente

Luego de varios problemas con mi disco duro, que les comento que pasó a mejor vida junto a muchos de mis proyectos :c, me decidí a escribir algo por aquí.

Una cosa lleva a la otra, es decir, un disco nuevo lleva a tener que instalar Windows y la mayoría de sus programas, lo que también me ha llevado a instalar salvaguardas para la protección contra malwares, y entre ellos el SpywareBlaster, lo que me ha hecho estar escribiendoles en este momento.

SpywareBlaster no es un escaner ni un residente, es una aplicación que inmuniza los sistemas Windows contra la instalación de controles ActiveX maliciosos, lo que es una gran protección fundamentalmente para los que usan Internet Explorer. Pero la pregunta que todos nos hacemos ¿Cómo funciona este programa? ¿Qué es lo que hace? ¿Magia tal vez? Para los curiosos aquí está el secreto...

En primer lugar procedí a instalarlo, y por lo que se puede observar a simple vista el programa está compuesto únicamente por su ejecutable principal, un actualizador y unos archivos que no son más que la base de datos del programa, no instala ninguna librería auxiliar, ningún servicio, ni nada por el estilo. Para los que simplemente desean conocer como utilizar el programa, lamentablemente se equivocaron de lugar, pero les recomiendo este manual redactado por la web de InfoSpyware. Por hoy solo nos centraremos en lo que hace principalmente el programa.

Sin muchas vueltas, con ayuda de algunos monitores de registro y de archivos, más precisamente el RegMon y el FileMon para seguir el proceso en tiempo real, y el RegShot para apreciar el resultado final, podemos concluir fácilmente que lo que hace el SpywareBlaster es simplemente añadir entradas a las siguientes subclaves del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\P3P\History
HKU\S-1-5-21-746137067-1454471165-839522115-1003\
Software\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

Quizás alguno de ustedes halla escuchado o hasta conozca alguna o varias de estas subclaves, yo personalmente conocía las dos primeras, pero no la última (para mí la más interesante), de igual modo pasaré a explicar de una manera rápida y entendible cada una de ellas.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\P3P\History

Esta subclave del registro, añadida en IE6, permite bloquear la instalación de cookies de las páginas web que deseemos. Para hacerlo, simplemente creamos dento de ella una subclave con el dominio de la página web, y establecemos su valor predeterminado como tipo DWORD con el número 5. Si por ejemplo quisieramos agregar con un archivo de backup del registro (.reg) una clave que bloquee las cookies de esta página (por favor solo tomenlo como ejemplo :P) debería ser así:

Windows Registry Editor Version 5.00

Ejemplo:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\P3P\History\codehard.wordpress.com]
@=dword:00000005

SpywareBlaster añade entradas a esta subclave con páginas maliciosas, de esta manera "nos prohibe" por así decirlo de instalar cookies de estas páginas. Para saber que páginas bloquea el SpywareBlaster, la mejor manera es instalar el programas, y echarle un ojo a la entrada con el regedit o algún editor del registro.

HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains

Esta subclave almacena los dominios de la opción "Sitios restringidos" de las Opciones de Internet del IE. SpywareBlaster también tiene una gran base de datos con dominios de páginas maliciosas que permite protegernos contra ellas. Para crear una entrada de Sitios restringidos, simplemente hay que crear una subclave nombrada con el nombre del dominio a bloquear, y luego crear un valor DWORD con el nombre "*" (asterisco, sin las comillas, que es un comodín para bloquear las posibles variaciones del dominio) con el número 4. El código del archivo reg ejemplificativo para bloquear este sitio sería el siguiente:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Domains\codehard.wordpress.com]
"*"=dword:00000004

Cabe aclarar que también podemos agregar las entradas desde las Opciones de Internet del Panel de control,en la pestaña Sitios, en la sección de Sitios resringidos.

HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

Esta última subclave, la cuál considero la más interesante, es la que le permite al SpywareBlaster bloquear controles ActiveX, mediante un método denominado kill bit (bit de cierre) lo que provoca que cuando el IE haga una llamada al control ActiveX, mediante su CLSID (identificador único de una librería u objeto), este no se ejecute. En realidad, esta opción fue introducida en Windows con el objetivo de deshabilitar controles vulnerables al instalar parches de seguridad, pero es provechosamente utilizada por este programa para inmunizar contra ActiveX. Para añadir un kill bit se debe crear una subclave nombrada con el CLSID del control (entre corchetes), y luego dentro de ella crear un valor DWORD llamado "Compatibility Flags" (sin las comillas) con el número 400 en hexadecimal (1024 en decimal). El código de ejemplo para un archivo reg (suponiendo que el CLSID del control es 00000000-0000-0000-0000-000000000000) sería el siguiente:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000000-0000-0000-0000-000000000000}]
"Compatibility Flags"=dword:00000400

Como ven es muy sencillo desactivar controles ActiveX mediante kill bits, lo único que necesitamos es conocer el CLSID del control para poder deshabilitarlo.

Conclusiones
Como ven, SpywareBlaster no es mágico, no es nada más ni nada menos que una base de datos. Por lo personal recomiendo su instalación, ya que no consume recursos, especialmente a los usuarios de Internet Explorer. Debo confesar que se me ocurrió dejarlas un archivo reg con el contenido de las tres subclaves anteriores las cuales instala el programa, pero decidí no ponerla ya que considero que el programa nos ofrece la posibilidad de actualizarse, además de que sería un "robo" a los de javacool innecesario. Lo único, no olviden que es solamente una protección más, si bien gran parte de los malwares se propagan por Internet, instalen un antivirus, y si creen necesario, un buen cortafuegos, y sobre todo, sean concientes al navegar y al descargar archivos. Próximamente escribiré otros documentos de prevención, pero recuerden, la mejor protección es la propia conciencia.

Espero que a alguno le halla interesado y como siempre me gustaría que me dejen su crítica en los comentarios. Para los que quieren saber más sobre el tema, en la página de Microsoft hay bastante información, tanto en inglés como en español."

Creo que significa que las cookies estan bien? jejeje, ayyy paranoia...creo...

Ademas encontre cositas que trabajan siempre en en tareas de windows spoolsv.exe (no tengo impresora y siempre esta trabajando)

Otra: que es ESENT.EXE y tengo tambien un archivo XEROX y no tengo nada conectado(que yo sepa) en esa marca y no puede borrar.

Jejeje, no me preguntes de nuevo porque me das cuerda, es la ultima cosa que menciono, jejeje, perdon las molestias...

Muchas muchas gracias por tu paciencia...

para que puedas eliminar las entradas del registro estaria muy bien el "hijakethis" pero esta no es el foro, ni el espacio para poner esos logs quizas si aplicaras los pasos de desinfeccion nuevamente guardando los respectivos logs para que no sean borrados y despues utiliza hijakethis solo aplica ccleaner y ATF CLEANER 3 eso para que el log sea mas limpio y facil de revisar una ves en el foro oficial de hijakthis ahy te ayudaran a eliminar esas entradas y si es nesesario te asesoraran para utilizar el combofix en caso de que sea nesesario claro y podrias poner como referencia este post para que la persona que te este ayudando vea todo el proceso que emos llevado y se le facilite brindarte el apoyo nesesario saludos y si es asi cerraremos este tema para que puedas abrir uno en el foro oficial fde hijakethis

Si gracias, voy a hacer eso, muchas gracias por tu apoyo y paciencia, este tema ya debe cerrarse, mucho vicio.
gracias nuevamente...

ojala aya sido de ayuda y si deberemos solicitar se de por

tema cerrado