Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Saturday, October 11, 2008

Troyanos del doble acento

Source
Si el teclado está configurado correctamente y seguimos con el doble acento {canci''on}. Si es así, hay que sospechar que se trata de infecciones con los conocidos como troyanos del doble acento, Troj/Dloadr-AWJ - ntos.exe y/o Backdoor.Bot - twext.exe, que se introducen en plataformas Windows y suelen ir adjuntos a mensajes de spam, siendo capaces de descargar más de un código malicioso ejecutable como podréis comprobar más abajo en las entradas que pueden agregar en un log (informe) del programa HijackThis.
Para proceder a su desinfección y restablecer la configuración del teclado, haz lo siguiente:
Descarga el programa HijackThis 2.0.2. Descomprime o copia y pega el contenido en C:\HijackThis (deberás crear la carpeta).
Ejecuta HijackThis.exe desde la nueva carpeta que has creado. En la ventana del programa, pulsa sobre "Do a system scan only". Marca de las entradas que se indican a continuación en color rojo las que aparezcan en tu log y haz clic sobre "Fix Checked":
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe
F3 - REG:win.ini: run=C:\WINDOWS\ServicePackFiles\services.exe
F3 - REG:win.ini: run=C:\Windows\scvhost.exe
02 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll
02 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\ServicePackFiles\513143638.dll
02 - BHO: MainExplorer - {89731480-D47D-4DC4-8A36-BAAE55E094C5} - C:\WINDOWS\iexplore.dll
03 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll
03 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\phuoqoab.dll
04 - HKCU\..\Run: [userinit] C:\Documents and Settings\usuario\Datos de programa\ntos.exe
04 - HKLM\..\Run: [syskey] C:\Windows\win32h.exe
04 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe
04 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
04 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
04 - HKLM\..\Run: [Windows_Update] C:\Windows\svchost.exe
04 - HKLM\..\Run: [startkey] C:\Windows\system32\server.exe
04 - HKLM\..\Run: [startkey] C:\Windows\system32\Explorerr.exe
04 - HKLM\..\Run: [msnsyslog] C:\Windows\msnlogm.exe
04 - HKLM\..\Run: [Windows Update] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [msconfig] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [icq lite] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [Update Checker] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [AntiVir] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [mtsdsc.exe] C:\Windows\System32\mtsdsc.exe
04 - HKLM\..\RunServices: [Windows Update] C:\Windows\scvhost.exe
04 - HKLM\..\RunServices: [msconfig] C:\Windows\scvhost.exe
04 - HKLM\..\RunServices: [icq lite] C:\Windows\scvhost.exe
04 - HKLM\..\RunServices: [Update Checker] C:\Windows\scvhost.exe
04 - HKLM\..\RunServices: [AntiVir] C:\Windows\scvhost.exe
04 - HKLM\..\RunServices: [] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [Windows Update] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [msconfig] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [icq lite] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [Update Checker] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [AntiVir] C:\Windows\scvhost.exe
04 - HKLM\..\RunOnce: [] C:\Windows\scvhost.exe
04 - HKLM\..\Run: [startkey] C:\Windows\System32\iexplore.exe
04 - HKLM\..\Run: [starkey] C:\Windows\System32\svhost.exe
04 - HKLM\..\Run: [winup_32_dll] C:\Windows\System32\winup_32dll.exe
04 - HKCU\..\Run: [winup_32_dll] C:\Windows\System32\winup_32dll.exe
04 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe
04 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
04 - HKCU\..\Run: [Windows_Update] C:\Windows\svchost.exe
04 - HKCU\..\Run: [startkey] C:\Windows\System32\iexplore.exe
04 - HKCU\..\Run: [starkey] C:\Windows\System32\svhost.exe
04 - HKCU\..\Run: [startkey] C:\Windows\System32\SERVUS.exe
04 - HKCU\..\Run: [startkey] C:\Windows\System32\server.exe
04 - HKCU\..\Run: [startkey] C:\Windows\System32\Microsoft.exe
04 - HKCU\..\Run: [windat32] C:\Windows\System32\windat32.exe
04 - HKCU\..\Run: [NTSpool ] C:\Windows\System32\NTSpool.exe
04 - HKCU\..\RunOnce: [SWHelper] "C:\Windows\System32\Macromed\Shockwave 10\PostUpdate.exe" 1010011
04 - Global Startup: WinMessenger StartUp.lnk = C:\Archivos de programa\WinMessenger\WinMesgr.exe
010 - Unknown file in Winsock LSP: C:\Windows\System32\mswsock2.dll (puede aparecer varias veces en el log)
010 - Broken Internet access because of LSP provider 'rsvp32_2.dll'
016 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - [www.albatross18.com]
020 - AppInit_DLLs: sfklg.dll
020 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
020 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
020 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
023 - Service: Schedule - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

Activa la opción Mostrar todos los archivos y carpetas ocultos.
Reinicia el PC en "modo seguro" (a prueba de errores). Elimina de los archivos indicados a continuación los que aparezcan en tu log de HijackThis según las ubicaciones especificadas por el informe (C:\Windows o C:\Windows\System32):
win32h.exe
server.exe
Explorerr.exe
ServicePackFiles\services.exe (eliminar toda la carpeta)
iexplore.dll
msnlogm.exe
msnlogs.exe
mtsdsc.exe
twext.exe
ntos.exe
*NOTA: También debes eliminar el archivo "ntos.exe" si apareciera en la siguiente carpeta: C:\Documents and Settings\nombre de usuario\Datos de programa\ntos.exe.
scvhost.exe
iexplore.exe
svhost.exe
winup_32dll.exe
LocalService\Local Settings\Application Data\cftmon.exe (carpeta ubicada en C:\Documents and Settings).
WLCtrl32.dll
SERVUS.exe
phuoqoab.dll
sysfldr.dll
windat32.exe
spools.exe
Microsoft.exe
mswsock2.dll (secuestrador del LSP - Layered Service Provider). Solucionar con la utilidad LSPFix.
rsvp32_2.dll (secuestrador del LSP - Layered Service Provider). Solucionar con la utilidad LSPFix.
sfklg.dll
msntb.dll
dxtpdx.dll
NTSpool.exe
PostUpdate.exe (archivo ubicado en la carpeta C:\Windows\System32\Macromed\Shockwave 10).
svchost.exe (archivo ubicado en la carpeta C:\Windows).
TextAloud\TAForIE.dll (carpeta ubicada en C:\Archivos de programa o C:\Program Files).
WinMessenger\WinMesgr.exe (carpeta ubicada en C:\Archivos de programa).
*NOTA 1: Si no pudieras eliminarlos en "modo seguro", reinicia normalmente y elimínalos con el programa KillBox siguiendo las instrucciones de este enlace.
Para terminar, realiza una limpieza de archivos temporales, C:\Windows\Prefetch, index.dat, cookies, etc. con los programas CleanUp y CCleaner.


*NOTA 2:
Si el problema con el doble acento persistiera, haz lo siguiente:
1. Descarga el programa Malwarebytes' Anti-Malware 1.28: "Download_mbam-setup.exe". Mantén activa la conexión a Internet para descargar e instalar el programa. Una vez instalado Malwarebytes' Anti-Malware, elimina el archivo "Download_mbam-setup.exe" donde lo descargaste, puesto que ya no es necesario.
Ejecuta el programa desde el icono que se creará en el Escritorio. Haz clic sobre la pestaña "Actualizar". En la nueva ventana del programa, pulsa sobre "Buscar Actualizaciones". Una vez actualizado, haz clic sobre la pestaña "Escáner". Puedes optar por "Realizar un examen rápido" o "Realizar un examen completo". Marca la opción deseada y pulsa sobre "Examinar". Una vez finalizado el examen, se mostrará un archivo de texto con los resultados del análisis, que quedará almacenado en la pestaña "Registros".
En caso de haber detectado archivos maliciosos, haz lo siguiente:
1. Se mostrará la ventana: El examen ha terminado con éxito. Clic en "Mostrar Resultados" para ver todos los objetos hallados.
2. Pulsa sobre "Aceptar" y después sobre "Mostrar resultados".
3. Haz clic en "Quitar lo seleccionado". Aparecerá la ventana: "Quitados con éxito los elementos seleccionados".
4. Pulsa sobre la pestaña "Cuarentena" para comprobar los elementos que han sido eliminados. Desde ahí, podrás restaurarlos (no aconsejable) o eliminarlos definitivamente (Borrar todos).

*Por último, si aún no hubieras podido solucionar el problema con el doble acento, sigue las instrucciones de este enlace para ejecutar la utilidad ComboFix.

No comments: