troyano indestructible? (SOLUCIONADO)

[inthenight81]

Le paso al ordenador el Ashampoo Antispyware y me detecta un troyano "Trojan.Win32.Patched.i" ubicado en "C:\WINDOWS\system32\winlogon.exe" y en principio lo elimina pero cada vez que arranco el PC lo vuelvo a analizar y sigue estando y así succesivamente.



Espero que me podáis ayudar. Gracias.

[kaninox]

holas no soy muy entendido en el tema pero lo que si se que el winlogon es un archivo del sistema, asi que si es un troyan debe ser bastante molesto, trataste de pasar el elistara y el elitrip



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postea el contenido de C:\infosat.txt



y cuando pase por aqui msc te dira lo que realmente es...



puedes probar eso por mientras...

[inthenight81]

Voy a probar eso de mientras. Gracias.

[inthenight81]

bueno, pues este ha sido el resultado:



Thu May 31 22:49:42 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Thu May 31 22:49:59 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Thu May 31 22:50:15 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Samsung\MagicKBD\About.exe --> Eliminado, Malware(winsys)



Thu May 31 23:02:53 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 31 23:03:25 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

El WINLOGON.EXE lanzado desde la carpeta de sistema, como es el caso, es del sistema y no debe eliminarse, en cambio si estuviera en otra carpeta como la de windows, probablemente seria virus (el NetSky por ejemplo)



Lo que dice de que "Le paso al ordenador el Ashampoo Antispyware y me detecta un troyano "Trojan.Win32.Patched.i" ubicado en "C:\WINDOWS\system32\winlogon.exe"" mas bien es debido a un falso positivo de dicho antispyware, mejor desinstalelo e instale uno como el Ewido (ahora de AVG)



[url=http://www.ewido.net/en/download/]Antispyware aconsejado[/url]



saludos



ms, 1-06-2007

[inthenight81]

Pues llevo mucho tiempo con el Ashampoo y nunca me había detectado ese troyano, no sé qué ha podido pasar.

[msc hotline sat]

SIempre puede haber falsos positivos como parece ser en este caso, contrastelo con el que le indicamos, y si quiere salir de dudas o lo sube al VIRUSTOTAL para que se lo analicen los 30 antivirus que lo componen, o nos lo envia como muestra para analizar...



http://www.zonavirus.com/antivirus-on-line/



Pulse en este link, vaya al final de la pagina y pulse en EXPLORAR, navegue hasta C:\windows\system32\WINLOGON.EXE y pulse doble click sobre él, y una vez seleccionado pulse en ANALIZAR ONLINE y en minutos tendrá la respuesta



saludos



ms, 3-06-2007

[inthenight81]

No ha encontrado nada Virus Total, efectivamente parece que es un falso positivo.



Muchísimas gracias por todo, estoy realmente impresionado con este foro.



Un saludo.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 4-06-2007