¿Alguien sabe qué clase de spyware/virus/gusano es este?
http://img212.echo.cx/my.php?image=spyware2ui.jpg
Cuando pinchas en el texto te abre esta página:
http://antivirus-gold.xxx/xxxx
A ver si hay alguien con el mismo problema que me pueda decir cosas. Muchas gracias
Editado por moderador: Por seguridad y posibles nuevas infecciones vía IE, he editado el link de la web.
Si, el CoolWeb, si tienes ese Spyware estas jodido, seguramente la pagina de inicio del explorador te la habra cambiado y te saldran ventanas POPUP con publicidad sin conocimiento, es un virus bastante dificil de desinfectar, se suele meter hasta la medula.
Lo primero de todo, para confirmar que este este Spyware (que estoy casi convencido al 100%) busca las siguientes dll:
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\PGAJBA.DLL
(si no estan en esas carpetas buscalos mediante el busacdor)
Aqui te dejo un log muy usual de un pc infectado con este Spyware:
Logfile of HijackThis v1.97.7
Scan saved at 11:19:16 a.m., on 04/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\UTILITARIOS\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {85A18D82-7377-11D9-8520-00110BE003D7} - C:\WINDOWS\SYSTEM\PGAJBA.DLL
O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM..\Run: [THD32.EXE] C:\ARCHIV1\THEHAC1\THD32.EXE /NOMSG
O4 - HKLM..\Run: [TheHackerConsola] C:\ARCHIV1\THEHAC1\THAV.EXE /NOPRE
O4 - HKLM..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM..\Run: [SystemTray] SysTray.Exe
O4 - HKLM..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM..\Run: [internat.exe] internat.exe
O4 - HKLM..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM..\RunServices: [T_H_S_M] C:\ARCHIV1\THEHAC1\THSM.EXE
O4 - HKLM..\RunServices: [PAV.EXE] C:\ARCHIV1\PERSYS1\PERAV\PAV.EXE
O15 - Trusted Zone: www.epdlp.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Adsl
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146
PARA INTENTAR ELIMINARLO
1º-Desactiva las restauraciones automaticas
2º-Elimina todas las Cookies, archivos temporales de internet y el contenido de la carpeta oculta "Content.ie5" que la podras encontrar en:
"C:\Documents and Settings[b]EL USUARIO QUE SEA[/b]\Configuración local\Archivos temporales de Internet" (añade \content.ie5 al final de esa linea y entraras)
3º-Entra en modo a prueba de fallos (ya que el spyware se ejecuta en modo normal y no se puede eliminar)
4º-Pasale un antivirus, a mi el que mas me gusta es el Kaspersky, sino usas este, tengo entendido que el Norton 2005 le pega bien al CoolWeb.
5º-Despues pasale un antispyware, por ejemplo el Spy Sweeper o el Spybot, mejor el primero.
6º-Despues el Ad-aware
7º-Inicia en modo normal
8º-Pasos del 4º al 6º inclusive estos
9º-Ya esta, mira a ver si se te ha eliminado, si no es asi, lo tienes hasta la medula: Format C:
Espero que te haya servido de ayuda, un saludo.
No tengo ninguna de esas DLL's, tampoco me detectan nada el norton, el spybot y el ad-aware. El caso es que hace poco limpie el ordenador de un virus, que me temo que es el que tu nombras. Creo que esto del fondo de escritorio es solo una parte de toda la mierda que me había metido que no he eliminado. Te adjunto el log del Hijack por si puede ser de ayuda:
Logfile of HijackThis v1.99.1
Scan saved at 15:41:37, on 24/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Logitech\iTouch\iTouch.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Psi\Psi.exe
C:\Archivos de programa\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 170.224.224.101:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe
O4 - HKLM..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM..\Run: [Symantec NetDriver Monitor] C:\ARCHIV1\SYMNET1\SNDMon.exe
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - HKCU..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
O4 - HKCU..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Archivos de programa\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Startup: Psi.lnk = C:\Archivos de programa\Psi\Psi.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Microsoft AntiSpyware helper - {9E57A3C5-F248-4E8A-AE0D-D5C022E50CE5} - C:\WINDOWS\system32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {9E57A3C5-F248-4E8A-AE0D-D5C022E50CE5} - C:\WINDOWS\system32\wldr.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {9E57A3C5-F248-4E8A-AE0D-D5C022E50CE5} - C:\WINDOWS\system32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {9E57A3C5-F248-4E8A-AE0D-D5C022E50CE5} - C:\WINDOWS\system32\wldr.dll (file missing) (HKCU)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {ABB8B806-3B56-4F58-9709-D83593461FCD} (xgaLauncher.ctlxgaLauncher) - http://www.aunarena.com/aa/cabinet/xgaLauncher.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip..{5FD4F948-165B-4736-85C3-2067AB85D60A}: NameServer = 195.235.113.3,194.224.52.37
O17 - HKLM\System\CCS\Services\Tcpip..{BB839217-0752-4D8F-ACB7-C73E5B01665E}: NameServer = 195.235.113.3,194.224.52.37
O17 - HKLM\System\CCS\Services\Tcpip..{E900CE11-1FC9-4A2E-8AE0-1D448E663114}: NameServer = 194.224.52.37
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV1\ARCHIV1\SYMANT1\SCRIPT1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
Ya conseguí solucionarlo. Si alguien se encuentra con el mismo problema que siga las instrucciones de este post:
http://www.forospyware.com/archive/index.php/t-2401.html
