Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Ante todo, hola a todos !!
Les comento mi problema:
Hace exactamente dos días empecé a tener problema en mi computadora, primero al abrir mi el Firefox me saltó una ventana de aviso de virus de mi antivirus (nod32) avisándome que habia sido encontrado el Spy.vbsat.j en mi sistema. Luego navegando con Firefox de golpe se me comenzaban a abrir ventanas del Internet Explorer con publicidad de "excelentes" anti-spywares (incluso a veces las ventanas se me abrian en el mismo Firefox). No estoy seguro de donde puedo haber venido este problema, pero muy probablemente sea a causa de mis padres que recien estan aprendiendo navegar y temo que hayan entrado en un sitio que no debían.

Procuré correr un scan completo con el Spyboot S&D, y encontró que tenia el smitfraud-c.toolbar888. Buscando en este mismo foro encontré a varios usuarios con este problema, pero no quize arriesgarme a probar ninguna de las soluciones por las varias respuestas que vi en diferentes temas (muy posiblemente porque cada uno tenia un problema ligeramente diferente).
El problema de escanear y borrar con el Spyboot es que cada vez que reinicio el sistema y corro el escaneo sigo encontrando lo mismo, por lo que me temo no lo estoy limpiando en absoluto. Lo único que hize aparte del Spyboot fue correr un chequeo del sistema con mi antivirus (el nod32) - que no encontró nada - luego con el Kapersky Online - que si encontro una sola entrada y fue eliminada (lamento no haber guardado el log de los resultados, pero fue antes de entrar a este sitio) y luego con el ActiveScan de Panda, que no encontró nada.
También (desde modo a prueba de fallos) corrí el programa llamado "SmitFraudFix", según las recomendaciones que encontré en un foro anglosajón (nuevamente todo esto antes de llegar a este foro).

Les adjunto dos entradas sospechosas que encontré en la herramienta de BHO del Spyboot.

Log del Spyboot
{51A39D43-CB2D-4735-A82F-ECCBA6ED1319} ()
BHO name:
CLSID name:
Path: C:\WINDOWS\system32\
Long name: nnnlijg.dll
Short name:
Date (created): 13/05/2007 14:39:20
Date (last access): 14/05/2007 21:23:28
Date (last write): 13/05/2007 14:39:20
Filesize: 26166
Attributes: archive
MD5: 70A82955EB10EA3D576D05BEDF29B49C
CRC32: 30D354A2

{B9ABD348-7A6E-49E0-A765-7F651961C2BD} ()
BHO name:
CLSID name:
Path: C:\WINDOWS\system32\
Long name: vtutq.dll
Short name:
Date (created): 13/05/2007 14:49:08
Date (last access): 14/05/2007 21:23:10
Date (last write): 13/05/2007 14:49:12
Filesize: 285268
Attributes: hidden sysfile
MD5: D96962371518FD78AEA05D3BB619ED5D
CRC32: 0AA47EA1

Desde ya, muchas gracias

hola .......

pasa un escaneo con...
chao.... ... nos cuentas como te fue....

compermiso orion_ap

Descargue este programas, (pero no las ejecutes aun).

SmitfraudFix

SpyBot Search & Destroy 1.4

DelPSGuard



Apague "Restaurar Sistema"

Inicia el sistema en "Modo a Prueba de Fallos"

Ejecutar las siguientes aplicaciones:


SmitfraudFix

*Nota* Para ejecutar la herramienta SmitfraudFix siga estos pasos:


ejecuta el spybot S&D (elimina lo que te encuentre)

luego ejecuta el DelPSguard (pega el reporte que te genere aqui) (lee su manual muy importante)

luego pasas estos 2 online

ewido online (cuando termine dale en remove infections)

kaspersky online (pega el reporte entero que te genere)

te espero............

salu2

Olaaaaa a los dos.

Lalo, no te alebrestes, el SmitFraudFix es como un DelPSGuard, pero abierto para todo publico, asi es que lo omitiremos.
Tambien el DelPSGuard lo omitiremos por el momento, no sabemos si realmente tenga al SmitFraud de huesped.
Primero haz lo que te dijo orion, pasale el Ewido y el Kaspersky, despues de eso le pasas el Spybot en Modo seguro y nos pegas los reportitos del KAS y del Ewido.

Salu2!

estuvo buenisimo.....

Jajajaja... gente, gente, no se peleen...

Bueno, les comento. Seguí los pasos recomendado por Deoxys, y los resultados tanto del ewido y del kapersky no fueron del todo satisfactorios, en el sentido que solo detectaron cookies de seguimiento del internet explorer (navegador que no uso, por lo que las cookies se deben crear cada vez que se me abren esas ventanas molestas que comentaba).

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\Almirante Ross\Cookies\almirante ross@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Documents and Settings\Almirante Ross\Cookies\almirante ross@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.16:C:\Documents and Settings\Almirante Ross\Datos de programa\Mozilla\Firefox\Profiles\57c45pxe.default \cookies.txt
Risk: Medium

===============

KASPERSKY ONLINE SCANNER REPORT
Tuesday, May 15, 2007 2:02:54 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 15/05/2007
Kaspersky Anti-Virus database records: 300867
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 91887
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 01:08:34

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked skipped
C:\Archivos de programa\Eset\infected\JY4ACAAA.NQF Infected: Trojan-PSW.Win32.Steam.f skipped
C:\Archivos de programa\Eset\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Temp\BCG89C.tmp Object is locked skipped
C:\Documents and Settings\Almirante Ross\Configuración local\Temp\Perflib_Perfdata_4fc.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Almirante Ross\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Almirante Ross\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped

==============

Por su parte, el Spyboot me detecto (y posteriormente eliminó) las siguientes cookies de seguimiento:

MediaPlex
SystemDoctor2006
Winsoftware.WinAntiVirusPro2006
Winsoftware

Tenia ganas de hacer un scan con el Superantispyware y el AVG anti-spyware pero no tengo tiempo ahora (aca en Argentina son las 3 de la mañana y debo levantarme a las 9 para trabajar... la pucha!).

Por otro lado, siguen apareciendo eso BHO's que comentaba en mi primer post. Apuntando a vtutq.dll y a nnnlijg.dll(este directamente se hayaba oculto) dentro de System32. Por mas que intento borrar la entrada de registro de ambos, siguen creandose automáticamente, por lo que tiene que haber algo mas que los esté generando.
¿Alguna recomendación para poder borrarlos? (Ya que se estan ejecutando sobre winlogon.exe, y digamos que no puedo cerrar el proceso para poder realizar una eliminacion satisfactoria).

Desde ya, gracias.

Hola.

como no estan respondo yo .

Lee este tutorial para la eliminacion de el Trojan vundo ya que estas infectado con el , sigue los pasos tal y como estan :

• Eliminar Troyan Vundo *TUTORIAL*

Solo pega el reporte de el Panda , por favor , el de hijackthis no lo pegues aun ya que no es necesario no lo pegues ok


suert3!

Angel, desde ya gracias por tu respuesta.
Hoy a la tarde / noche voy a probar tu recomendación a ver si puedo librarme de mi "amiguito".
Estuve leyendo el tutorial de eliminacion del Vundo, y hay algo que no me quedó claro y aprovecho para preguntarlo: El analisis y los fix con las siguientes herramientas: SuperAntiSpyware, DelPSGuard, VundoFix.exe y VirtumundoBeGone ¿Los debería hacer arracando el sistema en modo seguro, verdad?

no, relizalos en modo normal, ya que no tienes (o no lo has inidicado) problemas para usar las herramientas, es decir que al usarlas se reinicie la pc o algo asi, si eso sucediera realizalos en modo seguro, lo que si debes hacer es apagar restaurar sistema como te lo indica el enlace..
bye..

Muchachos, estuve realizando los pasos según lo recomendado en el topic de eliminación del Troyan Vundo y esto fue lo que obtuve:

Resultados de SuperAntiSpyware (Detectados y Borrados)
Adware.Vundo Variant
Trojan.WinFixer
Unclassified.Oreans32
Trojan.Downloader-spytool

El DelPSGuard no encontró ni Carpetas y Archivos infectados ni programas malwares

El VundoFox me devolvió lo siguiente
Listing files found while scanning....
C:\WINDOWS\system32\nchctwnw.ini
C:\WINDOWS\system32\wnwtchcn.dll

Beginning removal...
Attempting to delete C:\WINDOWS\system32\nchctwnw.ini
C:\WINDOWS\system32\nchctwnw.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\wnwtchcn.dll
C:\WINDOWS\system32\wnwtchcn.dll Has been deleted!
Performing Repairs to the registry.
Done!

El VirtumundoBeGone me tiró lo siguiente

[05/15/2007, 18:26:36] - Searching for Browser Helper Objects:
[05/15/2007, 18:26:36] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[05/15/2007, 18:26:36] - BHO 2: {51A39D43-CB2D-4735-A82F-ECCBA6ED1319} ()
[05/15/2007, 18:26:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/15/2007, 18:26:36] - No filename found. Continuing.
[05/15/2007, 18:26:36] - BHO 3: {ADDF36EF-04C4-4A87-A16E-E2C20471DF1F} ()
[05/15/2007, 18:26:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/15/2007, 18:26:36] - No filename found. Continuing.
[05/15/2007, 18:26:36] - BHO 4: {F156768E-81EF-470C-9057-481BA8380DBA} (FlashGet GetFlash Class)
[05/15/2007, 18:26:36] - Finished Searching Browser Helper Objects
[05/15/2007, 18:26:36] - Finishing up...
[05/15/2007, 18:26:36] - Nothing found! Exiting...

Y por ultimo, el resultado del Panda ActiveScan es lo siguiente:

Incidencia Estado Elemento

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Almirante Ross\Datos de programa\Thunderbird\Profiles\default.jsn\cookies. txt[.ciudad.com.ar/]
Spyware:Spyware/Virtumonde No desinfectado C:\VundoFixBackups\wnwtchcn.dll.bad
Herramienta potencialmente no deseada:Application/Processor No desinfectado D:\Descargas\temp\VirtumundoBeGone.exe