Ayuda con troyanos

John01 · Mensaje por **John01** » 22 Jul 2009, 21:15

Hola soy nuevo en el foro. Mi problema es que desde hace unos dias mi pc se puso lenta y el explorer intentaba abrirse solo, la revise con spyware search & destroy y me aparece un troyano, luego le pase el nod32 pero cuando escanea se queda pegado en 30% y no pasa de ahi por ultimo le pase el malwarebytes y me encontro varios troyanos aqui les dejo el log despues de el de hijack this

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:17:43 p.m., on 22/07/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\nvsvc32.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

H:\Archivos de programa\Java\jre6\bin\jqs.exe

H:\WINDOWS\system32\PnkBstrA.exe

H:\WINDOWS\system32\PnkBstrB.exe

H:\WINDOWS\System32\TUProgSt.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\RTHDCPL.EXE

H:\Archivos de programa\Java\jre6\bin\jusched.exe

H:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe

H:\Archivos de programa\Messenger\msmsgs.exe

H:\Archivos de programa\DAEMON Tools Lite\daemon.exe

H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

H:\Archivos de programa\Ares\Ares.exe

H:\WINDOWS\system32\wuauclt.exe

H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - H:\Archivos de programa\AskSearch\bin\DefaultSearch.dll

O2 - BHO: (no name) - {01A57717-F485-304E-874F-123E6EDAFC0B} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - H:\Archivos de programa\ATLAS V14\ATLIECP.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - H:\Archivos de programa\ATLAS V14\ATLIECP.DLL

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "H:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [IMJPMIG8.1] H:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] H:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] H:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] H:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ISUSPM] "H:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -scheduler

O4 - HKCU\..\Run: [MSMSGS] "H:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Google Update] "H:\Documents and Settings\Jonathan Allen\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ares] "H:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Translate with ATLAS - H:\Archivos de programa\ATLAS V14\Atlscript.html

O8 - Extra context menu item: ATLAS Translation &Editor - H:\Archivos de programa\ATLAS V14\AtlscriptEdit.html

O9 - Extra button: ATLAS Translation - {B7707A72-4355-11D4-82BD-00000EBBEF8D} - H:\Archivos de programa\ATLAS V14\Atlscript.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - H:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - H:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - H:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - H:\WINDOWS\System32\TUProgSt.exe

--

End of file - 6971 bytes

---------------------------------------------------------------------------------------------------------------------------------------------

[color=#FF0000]Este es el log que me dio Malwarebytes' Anti-Malware[/color]

Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 1

Claves del Registro Infectadas: 8

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 2

Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:

H:\WINDOWS\system32\xwr90428.dll (Trojan.BHO) -> No action taken.

Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bb230240-3716-3a63-8d6f-a896515850a4} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{bb230240-3716-3a63-8d6f-a896515850a4} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\TypeLib\{8f078207-072f-3ed4-91de-19119aec675b} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{fa9dddf4-5532-3ac8-b905-a557cf96a1d9} (Trojan.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bb230240-3716-3a63-8d6f-a896515850a4} (Trojan.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

HKEY_CLASSES_ROOT\D (Trojan.Agent) -> No action taken.

HKEY_CLASSES_ROOT\D.1 (Trojan.Agent) -> No action taken.

Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\w32id (Spyware.OnlineGames) -> No action taken.

Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)

Carpetas Infectadas:

(No se han detectado elementos maliciosos)

Ficheros Infectados:

H:\WINDOWS\system32\xwr90428.dll (Trojan.Vundo.H) -> No action taken.

h:\WINDOWS\system32\wr90428.dll (Trojan.BHO) -> No action taken.

------------------------------------------------------------------------------------------------------------------------------------------------

Mensaje por **msc hotline sat** » 22 Jul 2009, 21:37

Le echaré un vistazo, pero mientras https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

Además, vistas las detecciones finales, y como ya se indica en el Tema del link indicado, prueba el ELSTARA:

[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y si pide el ELINOTIF.DLL, copiar dicho fichero en la misma carpeta que el ELISTARA.EXE, el cual la utilizará si la necesita:

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Y DE ENTRADA EN EL LOG VEMOS QUE TE FALTAN PARCHES:

~~[b]~~[i]Platform: Windows XP SP2 (WinNT 5.01.2600)[/i][/b]

lANZA UN WINDOWSUPDATE E INSTALA EL sp3 Y POSTERIORES !!!

Tras probar el ELISTARA con el ELINOTIF, posteanos el contenido de c:\infosat.txt, gracias

saludos

ms, 22-7-2009

John01 · Mensaje por **John01** » 22 Jul 2009, 23:33

Gracias por contestarme. Ya descargue el sp3 con las actualizaciones hasta la fecha e instale ElistarA + elinotif.dll en una misma carpeta, elijo la unidad H que es donde tengo el disco duro y le doy click a explorar. Todo bien pero no me crea ningun log en la unidad H y siempre se detiene en 18917 de 86371 ficheros. No se si que podra estar pasando. :?

julibaga · Mensaje por **julibaga** » 23 Jul 2009, 04:36

Inténtalo en Modo seguro con funciones de red. El infosat.txt lo genera al final en tu caso en H:

Mensaje por **msc hotline sat** » 23 Jul 2009, 04:37

Nuestras utilidades crean el fichero infosat.txt en C:\ , en el que la inmensa mayoría tenemos un disco duro, aunque no sea el de arranque:

"Tras probarlo, reiniciar y postearnos el contenido de ~~[b]~~[i][u]C:\infosat.txt[/u][/i][/b] para ver el resultado del proceso "

Mira en dicha unidad y encontrarás el fichero, seleccionas su contenido y con un copiar y pegar nos lo posteas como respuesta de este Tema.

saludos

ms, 21-7-2009

Ayuda con troyanos

Ayuda con troyanos

Re: Ayuda con troyanos

Re: Ayuda con troyanos

Re: Ayuda con troyanos

Re: Ayuda con troyanos