Tema: Haber...

[nos]

Hola, te dejo aqui el Manual:

Nombre: Trojan-Spy.HTML.Smitfraud.c
Tipo: Troyano, Spyware, Hijacker
Alias: Spy.HTML.Smitfraud.c, Troj/Smitfraud.c, Trojan-Spy.HTML.Smitfraud.a, CWS.YEXE, Phish-BankFraud.eml, Trojan.Bankfraud, HTML.Phishing.Bank-1, HTML/Smithfraud.gen, Spy.HTML.Smitfraud.b, updatesearches.com, quicknavigate.com, qfind.net, startsearches.net, oneclicksearches.com, Virtual Maid, Troj/w32.desktophijack, w32.desktophijack, Trojan.Desktophijack.B, W32.Desktophijack

Smitfraud es catalogado como un troyano dedicado a las estafas del tipo phishing tratando de engañar a los usuarios para que revelen datos importantes como los de su tarjeta de crédito, ahora en su nueva y modificada variante Trojan-Spy.HTML.Smitfraud.c aparte nos cambia el escritorio de Windows (desktop) poniéndonos algun mensaje similar a estos y si la posibilidad de cambiarlo al igual que la pagina de inicio del IE.


Pasos a seguir para eliminar Trojan-Spy.HTML.Smitfraud.c

Paso 1- Apaga el "Restaurar Sistema" (solo Win Me y XP)

Paso 2- Descargar el programa llamado KillBox

Paso 3- Desinstala desde el Panel de Control - Agregar/Quitar Programas si tiene cualquiera de estos programas:

PSGuard
Security IGuard
Virtual Maid
Search Maid

Paso 4- Iniciar el KillBox.exe , seleccionar la opción "Delete on Reboot " (Eliminar al reiniciar).

En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar), ir poniendo de uno en uno las estas rutas y sus archivos:

C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
c:\bsw.exe
C:\Windows\popuper.exe
C:\WINDOWS\System32\intel32.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Archivos de programa\PSGuard\PSGuard.exe

Ir pulsando en el botón que parece un circulo rojo con una X blanca. Cuando se le pregunte si queres reiniciar ahora ("Reboot now"), ponerle que NO hasta poner el ultimo archivo y ahi ponerle que SI para que reinicie y elimine estos archivos.

Paso 5- Si la pagina de inicio fue secuestrada (por lo gral por quicknavigate.com, updatesearches.com, startsearches.net) ejecutar el programa HijackThis y darle "FIX Cheked" a estas entradas y elimine los archivos del Paso 4

R0 y R1 - Con quicknavigate.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html

Y cualquier otra entrada R1 y R0 que contenga quicknavigate.com y qfind.net

R0 y R1 - Con oneclicksearches.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/


R0 y R1 - Con updatesearches.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html


R0 y R1 - Con updatesearches.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

---------------------------

El resto de entradas se puede dar en todos los casos.

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hpF656.tmp

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe

O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

Esta ultima intenta disfrazarse del popular programa "MSN Messenger", pero en realidad es parte del malware por lo que hay que eliminarla.

--------------------

Paso 6- Descargue la herramienta SmitfraudFIX.zip y descomprímala en el escritorio de Windows, esta mostrara 3 archivos y al vamos a usar el .bat pero no todavía.

Paso 7- Reiniciar eh iniciar en "Modo a prueba de fallos" (modo seguro)

Paso 8- Ejecute el archivo SmitfraudFIX.bat que se encuentra dentro de la herramienta SmitfraudFIX.zip y siga las instrucciones del programa.

Paso 9- Reinicie el sistema en modo normal y si necesita mas ayuda puede dejarnos su log en el Foro de HijackThis


NOTA: Descarga de aqui el archivo:
http://s43.yousendit.com/d.aspx?id=1W8ONZN670PQU2NT273CWZ6N6B


Espero que te sirva. Un saludo.

[danielc]

Luego de seguir detalladamente todos los pasos recomendados, mi fondo de pantalla segía con el problema. A pesar de que las recomendaciones recibidas me sirvieron para solucionar otros inconvenientes.
Finalmente, de pura suerte, encontré un archivo en C:\windows que tenia fecha del día en que me apareció el virus y cuyo nombre empezaba con "Un..." por lo que intuí que podia ser un desintalador, lo ejecuté y magicamente se solucionó todo. Me parece que este es un dato importante para que lo tengan en cuenta si les ocurre algo similar.
Quiero agradecer a los que desinteresadamente colaboran para ayudar.

Saludos para todos los integrantes del foro.

Daniel