Creo que tengo un troyano. Ayuda (SOLUCIONADO)

Cerrado
beatriz42
Asiduo al foro
Asiduo al foro
Mensajes: 67
Registrado: 03 Jul 2006, 17:46

Creo que tengo un troyano. Ayuda (SOLUCIONADO)

Mensaje por beatriz42 » 25 Nov 2010, 01:23

Hola buenas noches, necesito que me mireis el log del hijackthis. El antivirus me aviso con esto:



C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\WINDOWS INTERNET NAME SERVICE\UPDATER.EXE Generic.dx!uxu ()

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\updater.exe Generic.dx!uxu ()

C:\SYSTEM VOLUME INFORMATION\_RESTORE{61B4E78C-0BA6-425D-A445-103473794BC1}\RP171\A0020525.EXE Generic.dx!uxu ()

C:\System Volume Information\_restore{61B4E78C-0BA6-425D-A445-103473794BC1}\RP171\A0020525.exe Generic.dx!uxu ()



Supuestamente el antivirus lo ha eliminado. Pero comprobando la ruta donde estaba el virus, me encuentro dos ejecutables con el nombre de updrem.exe y wins.exe. En el administrador de tareas si esta activo el ejecutable wins.exe. He buscado información sobre él y no encuentro nada.



Muchas gracias de antemano y espero vuestra contestación.



Logfile of HijackThis v1.99.1

Scan saved at 0:51:27, on 25/11/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17055)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Creative\News\NewsUpd.EXE

C:\Archivos de programa\Creative\Audio2K\PROGRAM\CTMIX32.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\D-Link\Air USB Utility\AirCFG.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe

C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe

C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe

C:\Archivos de programa\McAfee\Common Framework\McTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Lupe\CONFIG~1\Temp\Rar$EX01.441\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 65.54.239.80 messenger.hotmail.com

O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\ARCHIV~1\WI9130~1\ToolBar\SearchquDx.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Archivos de programa\Fun4IM\Plugins\IE\ieplugin.dll (file missing)

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [CreativeMixer] C:\Archivos de programa\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Archivos de programa\D-Link\Air USB Utility\AirCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: c:\archiv~1\fun4im\bndhook.dll

O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe

O23 - Service: Fun4IM Coordinator - Unknown owner - C:\ARCHIV~1\Fun4IM\Bandoo.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93773
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Creo que tengo un troyano. Ayuda

Mensaje por msc hotline sat » 25 Nov 2010, 07:07

Pues si bien deberias haber seguido antes las indicaciones de :



https://foros.zonavirus.com/viewtopic.php?f=13&t=5148





y postear el contenido del c:\infosat.txt generado por el ELISTARA, ya que has empezado por el final, cabe decirte que, de entrada, vemos te faltan muchos parches:



windows XP SP2 (WinNT 5.01.2600)



Debes instalar los 1027 del SP3 y posteriores, sin ellos tu sistema tiene mas agujeros de seguridad que un queso de gruyere !



Lanza un windowsupdate e instala los que encuentre a faltar.



Aparte, envianos este fichero que tienes en uso para analizar:



C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe



y añade .VIR a su extension, para que no se lance en el proximo reinicio.



y el UPDREM.EXE que mencionas, no lo vemos en el log, pero envianoslo tambien y lo analizaremos, podria ser un driver de sonido de Creative, o un troyano...



>[b]ENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-11-2010

RSPMAD

beatriz42
Asiduo al foro
Asiduo al foro
Mensajes: 67
Registrado: 03 Jul 2006, 17:46

Re: Creo que tengo un troyano. Ayuda

Mensaje por beatriz42 » 25 Nov 2010, 22:25

Buenas noches, ante todo pedirte mil disculpas por haberme adelantando a abrir un tema sin antes haber leido las normas que indicais en el foro, lo siento.

He bajado las actualizaciones Service Pack 3 de windows y tambien se ha actualizado el explorer. He escaneado con el ELISTARTPAGE como me indicastes y que más abajo te pego el log, tambien he cambiado la extensión esos archivos que te indicababa como sospechosos poniendoles .VIR, y los envio como me indicas para que los mireis.

Pero queria comentarte que despues de bajarme las actualizaciones y reiniciar el pc me ha salido otro problema. Cuando se me abre el escritorio un vez reiniciado me salen estos tres mensajes:



AIRCFG.EXE no se encuentra el punto de entrada del procedimiento.

No se encuentra el punto de entrada del procedimiento apsSeachInterface en la biblioteca de vínculos dinámicos wlanapi.dll.



WZCSLDR2.exe no se encuentra el punto de entrada del procedimiento.

No se encuentra el punto de entrada del procedimiento apsSeachInterface en la biblioteca de vínculos dinámicos wlanapi.dll.



RUNNER ERROR

Runner file name (LogiteckDsktopMessenger.exe) lack a ' -' (The appid separator)



No se si este error que me dá del LogiteckDsktopMessenger.exe (que desconozco de que es este programa) es porque anoche escanee el ordenador con el Malwarebytes anti-malware y me eliminó algo relacionado con Messenger, además he visto que el LogiteckDsktopMessenger.exe aparece en INICIO- TODOS LOS PROGRAMAS - INICIO al igual que otro programa llamado Adobe Gamma Loader.exe. Este es el log del Malwarebytes Anti-Malware:



Archivos Infectados:

C:\Archivos de programa\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.



Te pego también el log del ELISTARTPAGE y comentarte que mientras escaneaba me salio un mensaje diciendo que no podia escanear en ésta carpeta que no sé que es, parece de una página web.



C:\Documents and Settings\All Users\Datos de programa\Bandoo



LOG DE ELISTARTPAGE



(25-11-2010 19:05:22 (GMT))

EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\ICONS"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por Defecto.



(25-11-2010 19:32:17 (GMT))

EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5518

Nº Total de Ficheros: 58627

Nº de Ficheros Analizados: 24141

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93773
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Creo que tengo un troyano. Ayuda

Mensaje por msc hotline sat » 26 Nov 2010, 06:27

El aircfg.exe puede ser un driver de Airplus Wireless Router de D-Link:



http://www.processlibrary.com/es/directory/files/airgcfg/





y puede que se haya dañado... Si fuera este solo procedería reinstalar dicho driver.



Pero tambien dices lo mismo del WZCSLDR2.exe, que está asociado a la aplicación ANIWZCS2 Service Launcher, utilizado por adaptadores USB para red inalámbricas, como por ejemplo el D-Link DWL-122 Wireless USB Adapter o similares.



Al parecer todo es de D-Link, puede haber sufrido daño el hardware del router inalambrico e impedir su correcto funcionamiento, Prueba reinstalarlo y sino es suficiente, revisar el hardware indicado...



y como que dices que has pasado el MBM lo que te pueda haber hecho y eliminado se supone que habrá sido correcto, pero no es de nuestra fabricacion ni damos soporte a dicho programa. Si no te funciona algo que ha eliminado total o parcialmente, prueba reinstalarlo.



Y visto el informe del ELISTARA, esperamos recibir hoy las muestras pedidas y tras analizarlas informaremos del resultado.



saludos



ms, 26-11-2010

beatriz42
Asiduo al foro
Asiduo al foro
Mensajes: 67
Registrado: 03 Jul 2006, 17:46

Re: Creo que tengo un troyano. Ayuda

Mensaje por beatriz42 » 26 Nov 2010, 16:49

Buenas tardes y gracias por contestar. Efectivamente esos dos errores que me daban eran del Wireless Router de D-Link. Anoche después de contestarte aqui estuve buscando información y me lo relacionaba con el D-Link. Hace unos dias me han cambiado el modem porque aumente los MB de velocidad y parece ser que el aparato que conectaba al wifi ya no era válido, ahora me estoy conectado por cable, pero el programa seguia instalado en el pc. Anoche probé a desinstalarlo de agregar y quitar programas y efectivamente al reiniciar ya no me daba esos errores. El error que me daba del programa LogiteckDsktopMessenger.exe también dejo de hacerlo porque lo quite de INICIO-TODOS LOS PROGRAMAS-INICIO, lo que no sé si el LogiteckDsktopMessenger.exe es importante o no. Si está relacionado con el Messenger, éste de momento me va bien.

Los archivos sospechos los envie anoche, así solo tengo que esperar a que me digas si son virus o no, porque de momento los he cambiado solo la extensión, pero aún los mantengo en el PC.



Muchas gracias y felicidades por el buen trabajo que realizais. Espero tu contestación. Un saludo

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93773
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Creo que tengo un troyano. Ayuda

Mensaje por msc hotline sat » 26 Nov 2010, 17:53

Sí, como indicamos en https://foros.zonavirus.com/viewtopic.php?f=11&t=33825 estos dos ficheros los hemos pasado a controlar como troyanos MUWID, con el ELISTARA 22.10 de hoy, e incluso de uno de ellos hemos hecho Noticia al respecto, y del otro, aunque mucho mayor de tamaño, era mas de lo mismo y lo hemos obviado para no cansar al pueblo :) , mirala en :



http://www.zonavirus.com/noticias/2010/nuevo-troyano-poco-detectado-muwid-solo-13-de-43-av.asp



Ya está disponible la versión 22.10 del ELISTARA que los controla. Pruebala y verás como lo soluciona, y dinos si tras reiniciar, ya no persiste ninguna anomalía y podemos dar por solucionado el Tema, gracias



saludos



ms, 26-11-2010

beatriz42
Asiduo al foro
Asiduo al foro
Mensajes: 67
Registrado: 03 Jul 2006, 17:46

Re: Creo que tengo un troyano. Ayuda

Mensaje por beatriz42 » 26 Nov 2010, 21:53

Guauuuuuuu, funcionó el Elistara los has eliminado perfectamente, es más he eliminado la carpeta completa habia más archivos entre ellos uno llama serve.met que mirandolo con el bloc de notas tenia dentro IPS. Te pego el log del Elistara



(26-11-2010 20:40:43 (GMT))

EliStartPage v22.10 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\UPDREM.EXE --> Eliminado, Trojan.Muwid

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE --> Eliminado, Trojan.Muwid



Nº Total de Directorios: 5604

Nº Total de Ficheros: 51550

Nº de Ficheros Analizados: 24910

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Muchas gracias por todo el interés que has puesto en mi problema. El ordenador me va perfectamente ahora, con las actualizaciones correctamente y la limpieza que me habeis hecho de ese troyano.Gracias y continuar con el buen trabajo que estais haciendo.

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6499
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Creo que tengo un troyano. Ayuda

Mensaje por lucl » 26 Nov 2010, 22:45

Muy bien pues nos alegramos que se haya solucionado. Y ya cerramos el tema dandolo por solucionado, vuelve cuando quieras :mrgreen: . Saludos.

Cerrado

Volver a “Foro HijackThis - copia y pega tu log”