Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: nos en 23 de Julio de 2005, 02:32:03 pm
-
Hola, te dejo aqui el Manual:
Nombre: Trojan-Spy.HTML.Smitfraud.c
Tipo: Troyano, Spyware, Hijacker
Alias: Spy.HTML.Smitfraud.c, Troj/Smitfraud.c, Trojan-Spy.HTML.Smitfraud.a, CWS.YEXE, Phish-BankFraud.eml, Trojan.Bankfraud, HTML.Phishing.Bank-1, HTML/Smithfraud.gen, Spy.HTML.Smitfraud.b, updatesearches.com, quicknavigate.com, qfind.net, startsearches.net, oneclicksearches.com, Virtual Maid, Troj/w32.desktophijack, w32.desktophijack, Trojan.Desktophijack.B, W32.Desktophijack
Smitfraud es catalogado como un troyano dedicado a las estafas del tipo phishing tratando de engañar a los usuarios para que revelen datos importantes como los de su tarjeta de crédito, ahora en su nueva y modificada variante Trojan-Spy.HTML.Smitfraud.c aparte nos cambia el escritorio de Windows (desktop) poniéndonos algun mensaje similar a estos y si la posibilidad de cambiarlo al igual que la pagina de inicio del IE.
Pasos a seguir para eliminar Trojan-Spy.HTML.Smitfraud.c
Paso 1- Apaga el "Restaurar Sistema" (solo Win Me y XP)
Paso 2- Descargar el programa llamado KillBox
Paso 3- Desinstala desde el Panel de Control - Agregar/Quitar Programas si tiene cualquiera de estos programas:
PSGuard
Security IGuard
Virtual Maid
Search Maid
Paso 4- Iniciar el KillBox.exe , seleccionar la opción "Delete on Reboot " (Eliminar al reiniciar).
En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar), ir poniendo de uno en uno las estas rutas y sus archivos:
C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
c:\bsw.exe
C:\Windows\popuper.exe
C:\WINDOWS\System32\intel32.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Archivos de programa\PSGuard\PSGuard.exe
Ir pulsando en el botón que parece un circulo rojo con una X blanca. Cuando se le pregunte si queres reiniciar ahora ("Reboot now"), ponerle que NO hasta poner el ultimo archivo y ahi ponerle que SI para que reinicie y elimine estos archivos.
Paso 5- Si la pagina de inicio fue secuestrada (por lo gral por quicknavigate.com, updatesearches.com, startsearches.net) ejecutar el programa HijackThis y darle "FIX Cheked" a estas entradas y elimine los archivos del Paso 4
R0 y R1 - Con quicknavigate.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
Y cualquier otra entrada R1 y R0 que contenga quicknavigate.com y qfind.net
R0 y R1 - Con oneclicksearches.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 y R1 - Con updatesearches.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R0 y R1 - Con updatesearches.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
---------------------------
El resto de entradas se puede dar en todos los casos.
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hpF656.tmp
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
Esta ultima intenta disfrazarse del popular programa "MSN Messenger", pero en realidad es parte del malware por lo que hay que eliminarla.
--------------------
Paso 6- Descargue la herramienta SmitfraudFIX.zip y descomprímala en el escritorio de Windows, esta mostrara 3 archivos y al vamos a usar el .bat pero no todavía.
Paso 7- Reiniciar eh iniciar en "Modo a prueba de fallos" (modo seguro)
Paso 8- Ejecute el archivo SmitfraudFIX.bat que se encuentra dentro de la herramienta SmitfraudFIX.zip y siga las instrucciones del programa.
Paso 9- Reinicie el sistema en modo normal y si necesita mas ayuda puede dejarnos su log en el Foro de HijackThis
NOTA: Descarga de aqui el archivo:
http://s43.yousendit.com/d.aspx?id=1W8ONZN670PQU2NT273CWZ6N6B
Espero que te sirva. Un saludo.
-
Luego de seguir detalladamente todos los pasos recomendados, mi fondo de pantalla segía con el problema. A pesar de que las recomendaciones recibidas me sirvieron para solucionar otros inconvenientes.
Finalmente, de pura suerte, encontré un archivo en C:\windows que tenia fecha del día en que me apareció el virus y cuyo nombre empezaba con "Un..." por lo que intuí que podia ser un desintalador, lo ejecuté y magicamente se solucionó todo. Me parece que este es un dato importante para que lo tengan en cuenta si les ocurre algo similar.
Quiero agradecer a los que desinteresadamente colaboran para ayudar.
Saludos para todos los integrantes del foro.
Daniel