Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Les quería pedir ayuda con un problema que estoy teniendo con el Spy Sheriff y quizas algún otro spyware.

A causa de un cartel muy raro con la advertencia de Spywares, que provenía de una página de inicio llamada "secure32.html", le pasé el Panda Active Scan a mi PC y obtube el siguiente resultado:


Panda Active Scan (Al inicio)

Adware:Adware/SpySheriff c:\winstall.exe
Adware:adware/secure32 c:\windows\system32\scmt16.exe
Adware:adware/spysheriff c:\winstall.exe
Adware:adware/whenusearch Registro de Windows
Adware:Adware/SpySheriff C:\Documents and Settings\TOWER\Configuración local\Archivos temporales de Internet\Content.IE5\FA87RLC5\xsbhnnkuw[1].txt
Herramienta potencialmente no deseada:Application/KillApp.A C:\Documents and Settings\TOWER\Configuración local\Archivos temporales de Internet\Content.IE5\MLPYF6T0\onmbyiesht[1].htm
Spyware:Cookie/Atlas DMT C:\Documents and Settings\TOWER\Cookies\tower@atdmt[2].txt
Spyware:Cookie/Casalemedia C:\Documents and Settings\TOWER\Cookies\tower@casalemedia[1].txt
Spyware:Cookie/Doubleclick C:\Documents and Settings\TOWER\Cookies\tower@doubleclick[2].txt
Spyware:Cookie/Com.com C:\Documents and Settings\TOWER\Cookies\tower@google.com[1].txt
Spyware:Cookie/Mediaplex C:\Documents and Settings\TOWER\Cookies\tower@mediaplex[2].txt
Spyware:Cookie/Com.com C:\Documents and Settings\TOWER\Cookies\tower@terra.com[1].txt
Spyware:Cookie/Yadro C:\Documents and Settings\TOWER\Cookies\tower@yadro[2].txt
Virus:Exploit/ByteVerify C:\Documents and Settings\TOWER\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-56f5f103-4f325495.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify C:\Documents and Settings\TOWER\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-56f5f103-4f325495.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify C:\Documents and Settings\TOWER\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \loaderadv523.jar-18422e57-770d6aaf.zip[Matrix.class]
Virus:Exploit/ByteVerify C:\Documents and Settings\TOWER\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \loaderadv523.jar-18422e57-770d6aaf.zip[Dummy.class]
Herramienta potencialmente no deseada:Application/KillApp.A C:\fwjjg.exe
Herramienta potencialmente no deseada:Application/KillApp.A C:\RECYCLER\NPROTECT\00463148.HTM
Herramienta potencialmente no deseada:Application/KillApp.A C:\RECYCLER\NPROTECT\00463151.HTM
Herramienta potencialmente no deseada:Application/KillApp.A C:\RECYCLER\NPROTECT\00463152.HTM
Herramienta potencialmente no deseada:Application/KillApp.A C:\RECYCLER\NPROTECT\00463153.HTM
Adware:Adware/SpySheriff C:\viyi.exe
Adware:Adware/Sqwire C:\WINDOWS\autoclk.exe


Ahí me conecte con este foro y segui paso a paso las instrucciones del tema Nº 4239 (Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked).

El tema es que luego le volví a pasar el Panda Active Scan, y sigue encontrando rastros del Spy Sheriff y otros.

Quería saber si alguien puede ayudarme a eliminar completamente esos Spywares.


Panda Active Scan (luego de realizada la limpieza)

Adware:adware/secure32 c:\windows\system32\scmt16.exe
Adware:adware/whenusearch Windows Registry
Spyware:Cookie/Com.com C:\Documents and Settings\TOWER\Cookies\tower@google.com[1].txt
Potentially unwanted tool:Application/KillApp.A C:\fwjjg.exe
Adware:Adware/SpySheriff C:\RECYCLER\NPROTECT\00467934.TXT
Potentially unwanted tool:Application/KillApp.A C:\RECYCLER\NPROTECT\00467943.HTM
Adware:Adware/SpySheriff C:\viyi.exe
Adware:Adware/Sqwire C:\WINDOWS\autoclk.exe


Desde ya les agradezco en lo que puedan ayudarme.

Hola,

Con Killbox elimina:
C:\windows\system32\scmt16.exe
C:\fwjjg.exe
C:\RECYCLER\NPROTECT\00467934.TXT
C:\RECYCLER\NPROTECT\00467943.HTM
C:\viyi.exe
C:\WINDOWS\autoclk.exe


Ademas pasa el RegSeeker (opcion Clean Registry, hasta que ya no marque nada) y el Disk Cleaner, los bajas aqui:
http://www.infospyware.com/Herramientas.htm

Nos cuentas si ya no te marca nada el antivirus.

Saludos

Muchas gracias por la ayuda, probaré con tus indicaciones y luego te cuento.

Nuevamente mil gracias.

Hice todo de acuerdo a lo que me indicaste, y el Panda da todo limpio. Pero la verdad es que todo anda bastante mal, la PC está muy lenta.

Busqué los archivos que fueron creados o modificados en el momento exacto del ingreso del Spy Sheriff y encontré lo siguiente.

En el C:\ se crearon los siguientes archivos:

Dgrphvd.exe
Dgsfuo.exe
Evfowarft.exe
jkykoxs.exe (este pesa 22 kb. El resto de los exe pesa 0 kb.)
sdgec.exe
teioj.exe
xoidmei.exe

El jkykoxs.exe, está en actividad en el administrador de tareas del Windows, y me
ocupa en algunos momentos entre el 90% y 98% del rendimiento del CPU. Creo que
por acá pasa el tema.

Además, en el momento del ingreso del Spy Sheriff se modificaron algunos archivos
(.class) del Norton Antivirus (tengo la versión 2004). El Norton está funcionando
bastante raro, ya que arranca deshabilitado cuando prendo la PC.

Espero que puedas ayudarme a solucionar definitivamente este problema.

Nuevamente mil gracias por lo que puedas sugerirme.

Hola,


Borra esos archvios con KillBox (entra a mdodo prueba de fallos, para que ninguno este activo):
C:\Dgrphvd.exe
C:\Dgsfuo.exe
C:\Evfowarft.exe
C:\jkykoxs.exe
C:\sdgec.exe
C:\teioj.exe
C:\xoidmei.exe


Pasa el kaspersky y el ewido online, los ejecutas desde aqui:
http://www.forospyware.com/foro-de-v...s/aviso-7.html

Si te detectan algo, pegas el reporte en tu proxima respuesta.

Saludos

olvidalo ya te lo dijo el...

Hola de nuevo. Ya hice lo que me indicaste y la PC está mucho mas manejable, además eliminé 2 claves del registro que incluian al archivo jkykoxs.exe. Ahora ya no se cuelga.

Pego los reportes de Ewido y Kaspersky:


ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.SaveNow
Path: HKLM\SOFTWARE\Classes\WUSN.1
Risk: Medium


Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, July 05, 2006 11:01:43 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 6/07/2006
Kaspersky Anti-Virus database records: 192751
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 38359
Number of viruses found: 11
Number of infected objects: 29 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:50:29

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Norton AntiVirus\AVApp.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVError.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVVirus.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\22C7198F.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\2E851DDC.exe Infected: not-virus:Hoax.Win32.Renos.dc skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\30D44D7B.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\31911AEE.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\350D0572.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\39877FDF.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\3D0A4A7E.zip/BlackBox.class Infected: Exploit.Java.ByteVerify skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\3D0A4A7E.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\3D0A4A7E.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\3D0A4A7E.zip ZIP: infected - 3 skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\3D0A4A7E.zip CryptFF: infected - 3 skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\40FC6F5E.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\45B07487.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\471D0E1F.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\5332346C.class Infected: Trojan.Java.ClassLoader.d skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\547F1F37.txt Infected: not-virus:Hoax.Win32.Renos.dc skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\6C3431FC.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\6C3431FC.htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\6C3431FC.wmf Infected: Trojan-Downloader.Win32.Agent.acd skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\6E494305.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\70296E0F.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\74D23D51.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\75D8540F.exe Infected: Backdoor.Win32.Rirc.b skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\77E26B00.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\780F49EF.exe Infected: Virus.Win32.Tenga.a skipped
C:\Archivos de programa\Norton AntiVirus\Quarantine\7D191150.class Infected: Trojan.Java.ClassLoader.h skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\TOWER\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\TOWER\Configuración local\Datos de programa\Identities\{92B3EF3F-8BD3-4AFE-82DD-DB2A4E711F6B}\Microsoft\Outlook Express\Pitu.dbx/[From "Federico Camauer" <fcamauer@ciudad.com.ar>][Date Sat, 28 Jun 2003 13:34:17 -0300]/UNNAMED/html Infected: Virus.JS.Fortnight.b skipped
C:\Documents and Settings\TOWER\Configuración local\Datos de programa\Identities\{92B3EF3F-8BD3-4AFE-82DD-DB2A4E711F6B}\Microsoft\Outlook Express\Pitu.dbx/[From "Federico Camauer" <fcamauer@ciudad.com.ar>][Date Sat, 28 Jun 2003 13:34:17 -0300]/UNNAMED Infected: Virus.JS.Fortnight.b skipped
C:\Documents and Settings\TOWER\Configuración local\Datos de programa\Identities\{92B3EF3F-8BD3-4AFE-82DD-DB2A4E711F6B}\Microsoft\Outlook Express\Pitu.dbx Mail MS Outlook 5: infected - 2 skipped
C:\Documents and Settings\TOWER\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\TOWER\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\TOWER\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\TOWER\Configuración local\Historial\History.IE5\MSHist0120060705200607 06\index.dat Object is locked skipped
C:\Documents and Settings\TOWER\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\TOWER\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\TOWER\ntuser.dat.LOG Object is locked skipped
C:\RECYCLER\NPROTECT\NPROTECT.LOG Object is locked skipped
C:\WINDOWS\Debug\oakley.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


La verdad es que no me queda claro en que situación estoy. Nuevamente solicito tu ayuda para interpretar esto.

Muchas gracias.

Hola,

yo pienso que ya esta todo eliminado

Pero hay que dar una ultima revisada:

Lo que te marca el kaspersky como infectado esta en la cuarentena del Norton, limpia dicha cuarentena.

Lo que te marca el ewido es una entrada en el registro que (esperemos ) solo sea un pequeño rastro de algo que hubo por ahi. Yo pienso que eso sale usando el RegSeeker (opcion Clean Registry), se borra todo lo que te marque (por si acaso recuerda siempre tener marcada la opcion de BackUp), y lo vuelves a pasar, hasta que ya no te marque nada.

Vuelves a pasar los antivirus online yy veamos si ya no marca nada.

Saludos

Antonio, ya hice todo lo indicado y luego de pasar los antivirus no quedan rastros del Spy Sheriff, ni ningún otro.

Solo me parece que el Norton ha quedado afectado por todo este tema, y la verdad es que ademas no estoy muy conforme con el rendimiento, por lo que estoy pensando instalar el Trend Micro Internet Security.

Como último favor quería saber si podés darme tu impresión respecto de este Antivirus, y en caso de no ser muy bueno, cual podrías sugerirme.

Nuevamente agradezco tu valiosa ayuda, sin la cual no hubiera podido solucionar mi problema.

Un gran abrazo.

Hola,

Que bueno que ya se soluciono tu problema

Sobre el antivirus, creo que no soy el mas indicado para recomendarte uno, porque en donde estoy me faiclitan el antivirus y no puedo usar ningun otro. De hecho tengo el Trend Micro, pero no te podria decir que tan bueno es porque mi PC tiene demasiados puertos bloqueados (por parte de quien dirige la institucion donde estoy), asi que es dificil que entren cosas raras a mi PC.

Pero puedes ver entre los temas de este foro cual antivirus recomiendan los usuarios habituales de internet, por lo visto recomiendan mas el NOD32, el AVG, el antivir, etc... Pero como te diej, mejor ve en los temas, aver quien te convence.

Bueno, y si ya no hay nada mas que agrgar, podemos dar el tema por terminado?

Saludos