Tema: only de best y otras malwares.

[EFE]

generalmente recurro a la lectura del foro para solucionar mis problemas sin tener que molestarlos ya que aqui se encuentra todo tipo de consulta resuelta con excelentes aportaciones de usuarios y moderadores.....sin embargo hoy no tengo otra alternativa que exponer mi caso.

ademas del fastidioso about blank, en mi maquina podran encontrar una gran coleccion de spywares, malwares y todo lo que termine en wares, que me han hecho los ultimos dias muy pesados.....

le he pasado toda clase de anti spywares y antivirus, incluyendo el panda y adware SE. segun detectan, desinfectan y eliminan cualquier cantidad de estos intrusos, (el panda online no lo corre) pero al volver a navegar me siguen fastidiando con sus ventanas emergentes como las que te avisan que tu computadora esta en riesgo como el dichoso "Warning your computer maybe a risk etc....etc...." hasta una ventana que se intitula "Only the Best" que es un link publicitario que te lleva a todos lados si le compras el ticket (dar click).

he pasado los antivirus en modo a prueba de fallos desactivando la casilla restaurar el sistema y al reiniciar vuelve lo mismo.....

he pasado el HT, y esto es lo que resulta.....aca les dejo el log....si se toman algunos minutos para analizarlo estaré eternamente agradecido que me ayuden a encontrar alguna solucion....

Logfile of HijackThis v1.97.7
Scan saved at 06:31:16 p.m., on 27/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\javady32.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\ARCHIV~1\TELMEX\PRODIG~1\app\TangoManager.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\ieqd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Antivirus hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
O2 - BHO: (no name) - {9CC8F542-1A40-D18B-FB14-9CD9B4908857} - C:\WINDOWS\system32\mfcbi.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [ieqd.exe] C:\WINDOWS\ieqd.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Búsqueda de AltaVista - file://C:\Archivos de programa\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traducir - file://C:\Archivos de programa\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795BADC-425C-41A2-883A-8008DBBF3CC0}: NameServer = 200.23.242.202 200.23.242.196

[Dabo]

no tengo tiempo para mirarlo a fondo a ver si otro compañero/a puede darle un vistazo, saludos  :wink:

[FatsGordon]

Esta es una variante del CWS bastante complicada porque usa dos ejecutables con nombres al azar y dos DLL con nombres al azar.

El primer ejecutable es (muy probablemente) O4 - HKLM\..\Run: [ieqd.exe] C:\WINDOWS\ieqd.exe, mientras que el segundo se ejecuta como un servicio llamado __NS_SERVICE_3.

En este exacto momento me estoy yendo, pero más tarde o mañana lo vemos y comenzamos la limpieza.

[EFE]

gracias dabo y fast por contestar, .....estaré muy agradecido con su ayuda.....

el ieqd.exe al darle terminar proceso con el administrador de tareas no lo puede terminar....es decir vuelve aparecer en menos que abrir y cerrar los ojos.....

saludos....

[FatsGordon]

Vamos a implementar una solución. Es la que está en http://www.wilderssecurity.com/showthread.php?t=28658&page=2&pp=25 . No sé si podrán leer el enlace, pero por las dudas lo copié (en inglés). Traduzco a continuación:

NOTA: los archivos NO NECESARIAMENTE están en la carpeta System32. Los hemos visto en el directorio Windows también.

Eliminación:

1. Asegurate que podés ver archivos ocultos y de sistema. Abrí cualquier ventana de Explorador y hacé click en Herramientas->Opciones de carpeta->Ver y asegurate de poner la marca en Mostrar Archivos y Carpetas Ocultos.

2. Presioná Ctrl+Alt+Delete una vez => hacé click en Administrador de tareas => hacé click en Procesos => doble click en la columna Nombre de imagen para ordenar los procesos alfabéticamente y buscá en la lista "" & "". Si encontrás los archivos haceles un click y luego hacé click en Terminar proceso. Salí del Administrador de tareas.

3. Ahora andá a Inicio->Ejecutar y escribí "Services.msc" (sin las comillas) y apretá Aceptar.

4. Bajá hasta encontrar el servicio llamado "Network Security Service".

5. Cuando lo encuentres hacele doble click. En la ventana que aparece hacé click en el botón Detener, luego cambiá el Tipo de inicio a Deshabilitado. Ahora apretá Aplicar y luego Aceptar y cerrá todas las ventanas que tengas abiertas.

6. Corré el HijackThis, marcá lo siguiente y apretá Fix Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
O2 - BHO: (no name) - {9CC8F542-1A40-D18B-FB14-9CD9B4908857} - C:\WINDOWS\system32\mfcbi.dll
O4 - HKLM\..\Run: [ieqd.exe] C:\WINDOWS\ieqd.exe


Si estás en México, probablemente la siguiente línea sea correcta (parece ser de TelMex, y veo que tenés algo de TelMex por ahí):

O17 - HKLM\System\CCS\Services\Tcpip\..\{F795BADC-425C-41A2-883A-8008DBBF3CC0}: NameServer = 200.23.242.202 200.23.242.196

Si no, o si no reconocés el rango de IP 200.23.242.202 200.23.242.196 como de tu proveedor de Internet (podés buscar en Google con el rango completo como cadena de búsqueda), o no estás en tu trabajo, se puede pensar en eliminar esta línea. En todo caso comentame y vemos qué hacemos.

Con respecto a las líneas:

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll


el HT no las corrige. Para corregir esto haría falta usar el LSPFix ( http://www.cexx.org/lspfix.htm ).

7. Reiniciá en modo seguro ( tecla F8 ) y eliminá los siguientes archivos:

C:\WINDOWS\wamud.dll
C:\WINDOWS\system32\mfcbi.dll
C:\WINDOWS\ieqd.exe

Yo no puedo ubicar el siguiente archivo:

C:\WINDOWS\javady32.exe

Si no podés asociarlo con ningún programa conocido, por lo menos movelo a otro sitio y cambiale la extensión, por ejemplo a una carpeta C:\BASURA nueva, y llamalo javady32.BAK.

8. Reiniciá en modo normal, abrí un Bloc de notas y copiá y pegá lo que ves a continuación:

Código: [Seleccionar]

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

Fijate de guardarlo como cwsuninst.reg . En realidad el nombre es lo de menos, pero lo importante es la extensión, fijate que por defecto el Bloc de notas te crea un .txt. Tenés que evitar eso haciendo click en el menú Archivo -> Guardar como... y eligiendo en Guardar como tipo la opción Todos los archivos, y escribiendo el nombre.reg en Nombre del archivo, y guardalo en el Escritorio.
Cerrá el Bloc de notas, buscá el archivo recién creado y hacele doble click. Aceptá los cambios de los que te informa.

9. Volvé a correr el HT y publicá un nuevo log.

NOTAS ADICIONALES:

Si se le dá acceso full a Internet esta variante va a borrar:

- tu archivo hosts (buenos reemplazos pueden obtenerse de http://www.mvps.org/winhelp2002/hosts.htm o de http://webpages.charter.net/hpguru/hosts/hosts.html )
- El Spybot S&D's BHO (si tenías el SpyBot S&D bajate el SDHelper.dll de http://www.spywareinfo.com/~merijn/winfiles.html , ponelo en la carpeta Spybot (por defecto en: C:\Archivos de programa\Spybot - Search & Destroy\) y hacé click en Inicio->Ejecutar->regsvr32 "C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll" y apretá Aceptar
- control.exe: seguí las instrucciones de: http://www.spywareinfo.com/~merijn/winfiles.html#control

OTRA NOTA ADICIONAL:

En la última variante es posible que el nombre del servicio cambie.
Los nombres actualmente conocidos son:
- Workstation Netlogon Service
- Remote Procedure Call (RPC) Helper
Como podrás ver ellos están imitando servicios legítimos y MUY utilizados, así que fijate bien qué detenés.

[EFE]

gracias fats....en cuanto esté en esa makina probaré todo lo que me indicas....

[EFE]

mil disculpas, solo comentarles que esa fue la solucion a ese problema....

[destroyer]

Gracias por comentarlo amigo..

un saludo

[FatsGordon]

Bien! :D