como eliminar caballos de troya

Responder
cint
Mensajes: 1
Registrado: 26 Ago 2009, 06:36

como eliminar caballos de troya

Mensaje por cint » 26 Ago 2009, 07:22

hola mi pc esta dañada pues ya realice el analisis con kaperski pero me detecta virus en procesos activos



caballo de troya:

backdoor.win32.sdbot.okq

en el fichero: c/systemvolumeninformat/a0065831.scr



caballo de troya backdoor.win32.sdbot.omv

fichero:c/window/system32/63.scr



software de riesgo trojan.generic

proceso de ejecucion c:/LVS32.EXE



SOFTWARE DE RIESGO INVADER

PROCESO DE EJECUCION C:/WINDOW/SYSTEM32/SERVICES.EXE

Y EN PROCESO EN EJECUCION (PID :904):

C:/WINDOWS /SYSTEM32/SERVICES.EXE



Y EL PROCESO EN EJECUCION(PID:2552)

C:/WINDOWS/SYSTEM32/SVCHOST.EXE

PROCESO EN EJECUCION(PID:2196)



NO LOS PUEDO ELIMINAR Y ME DESCONFIGURA LA COOMPU Y DESCONECTA DE INTERNET Y CONGELA LA MAQUINA

TE ENVIO LO QUE OBTUVE DEL





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:26:43, on 24/08/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191830394859

O17 - HKLM\System\CCS\Services\Tcpip\..\{802D5277-D159-4430-B643-1D73D977428D}: NameServer = 200.33.146.249 200.33.146.241

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



--

End of file - 4788 bytes



ESPERO SU PRONTA RSEPUESTA

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: como eliminar caballos de troya

Mensaje por msc hotline sat » 26 Ago 2009, 07:37

Evidentemente, sin parches puede entrarte cualquier cosa, a pesar del antivirus:



[b][i]Platform: Windows XP SP1 (WinNT 5.01.2600)[/i][/b]



lanza un windowsupdate (desde I.E.->Herramientas->Windowsupdate) y actualizalos





Aparte, para los troyanos indicados, pruebas el ELISTARA y el ELITRIIP, y posteanos el informe resultante:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]




saludos



ms, 26-8-2009

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: como eliminar caballos de troya

Mensaje por msc hotline sat » 28 Ago 2009, 13:10

En I+D de SATINFO han recibido un infosat.txt con tu nick.



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 28-8-2009

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: como eliminar caballos de troya

Mensaje por msc hotline sat » 28 Ago 2009, 13:29

Y lo que pueda haber en c:\systemvolume information_restore , no está en uso, sino que es la carpeta donde se guardan ficheros para posible restauracion.



Si quieres eliminar un fichero de dicha carpeta, debes desactivar la restauracion de sistema, arrancar en modo seguro y lanzar tu antivirus, que asi podrá eliminarlo.



saludos



ms, 28-8-2009

Responder

Volver a “Foro Spyware”