Trojan-Downloader.Java.Agent.ab (TERMINADO)

constipado · Mensaje por **constipado** » 21 Dic 2009, 11:01

Hola!

Mi PC esta muy lenta por lo que la scanee con el Kapersky Online y me dio un virus: Trojan-Downloader.Java.Agent.ab

Abajo pongo en log de Hijack, espero me puedan devir como eliminarlo y proteger mas eventualmente mi PC. Tengo el AVG antivirus, malawarebytes y como firewall... Gracias de antemano.

Log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:52:59, on 21/12/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18349)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Windows\system32\wuauclt.exe

C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe

C:\Program Files\Java\jre6\bin\java.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] - (User '?')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')

O4 - HKUS\S-1-5-21-986859028-4286291226-1062447642-500\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (User '?')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll

O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

--

End of file - 5849 bytes

Mensaje por **msc hotline sat** » 21 Dic 2009, 15:15

Pues vemos restos de AVG9 y parece que tienes instalado el AVIRA...

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

Solo debe haber un antivirus residente para evitar colisiones y ralentizacion. Elije uno y desinstala totalmente el otro

Y aparte, envianos el fichero donde dices que el Kaspaersky online te detecta el Trojan-Downloader.Java.Agent.ab para analizarlo e implementar su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 21-12-2009

constipado · Mensaje por **constipado** » 21 Dic 2009, 17:08

Hola:

Pues según yo ya había desinstalado el AVG... Pero veré, es que no soy muy experto como te podrás dar cuenta.

Lo que me pides no sé si sea esto: C:\Users\Administrador\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\36d3f0f9-617b8ae1

No veo nada más que pueda enviarte en el reporte. Pero ya me diras.

Gracias.

Isaac

Mensaje por **msc hotline sat** » 21 Dic 2009, 18:03

Tu sabrás... En el informe del KAV ON LINE debe decir "infected" ...

Esperaba que fuera un .EXE o .DLL, ...

y en respuesta a este Tema, copia y pega el informe, asi lo podremos ver y ayudarte !

saludos

ms, 21-12-2009

constipado · Mensaje por **constipado** » 21 Dic 2009, 20:27

Será esto el reporte... Gracias.

KASPERSKY ONLINE SCANNER 7.0: scan report

Monday, December 21, 2009

Operating system: Microsoft Windows Vista Ultimate Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Monday, December 21, 2009 16:59:45

Records in database: 3396354

Scan settings

scan using the following database extended

Scan archives yes

Scan e-mail databases yes

Scan area My Computer

C:\

D:\

E:\

Scan statistics

Objects scanned 77494

Threats found 1

Infected objects found 1

Suspicious objects found 0

Scan duration 01:14:16

File name Threat Threats count

C:\Users\Administrador\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\36d3f0f9-617b8ae1 Infected: Trojan-Downloader.Java.Agent.ab 1

Selected area has been scanned.

Mensaje por **msc hotline sat** » 21 Dic 2009, 21:37

Pues mira si encuentras algo en

C:\Users\Administrador\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\36d3f0f9-617b8ae1

y si no llegas, pruebalo con el ELIMOVER:

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

y nos cuentas el resultado, gracias

saludos

ms, 21-12-2009

constipado · Mensaje por **constipado** » 22 Dic 2009, 18:12

Creí haber respondido aye pero no... Pues hice lo que me dijiste pero la verdad no sé si bien, ni recuerdo exactamente cuando hice lo del Elimover pero creo que me salio una ventana de alerta.

De cualquier modo creo que borré el virus. En el kaspersky me sale esto, ¿es de que esta en cuarentena no? C:\Qoobox\Quarantine\C\Muestras\36d3f0f9-617b8ae1.Muestra EliMover v1.1.vir

Sin embargo la PC esta aún mas lenta.

Seguimos en contacto, gracias.

Mensaje por **msc hotline sat** » 22 Dic 2009, 18:36

Sí, pero para restaurar claves modificadas y demas necesitamos monitorizar el fichero

Mira si tienes algo em C:\muestras y envianoslo todo.

saludos

ms, 22-12-2009

Mensaje por **msc hotline sat** » 23 Dic 2009, 12:53

Pues recibidos los ficheros sospechosos, vemos que han sido alterados por antivirus u otras herramientas que no hemos indicado utilizar, y que en cualquier caso los han hecho no monitorizables y lo único que cabe es eliminarlos.

Posiblemente ha empleado Vd herramientas no indicadas en este foro.

Es una pena porque lo hubieramos podido controlar para este y futuros casos, pero no tras haber sido manipulado como es el caso.

Por ello nos vemos obligados a dar el Tema por terminado, si bien aclaramos que con los ficheros en cuarentena ya no serán utilizados, pero las claves que hubieran modificado o los cambios que hubieran hecho, al no poderlos monitorizar. no podemos restaurarlas

Como máximo, si tuviera punto de restauracion anterior al problema, puede probar de restaurar el sistema a dicho punto.

y dando por terminado el Tema, procedemos a cerrarlo

saludos

ms, 23-12-2009

Trojan-Downloader.Java.Agent.ab (TERMINADO)

Trojan-Downloader.Java.Agent.ab (TERMINADO)

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab

Re: Trojan-Downloader.Java.Agent.ab