troyano en svchost.exe y explorer.exe (!?!) (SOLUCIONADO)

[Apikalegusta]

"WTF!!!" esa fue mi reaccion ya que me formatearon la compu hace menos de 1 semana (el chabon me cobro carisimo, me cago mal XD) y cuando le pongo el avg, a los 2 dias, me salta que me vino con virus la maquina!! o me habran entrado despues?? Igual la compu me vino con norton antivirus "full" pero yo lo saque y primero puse el Online Armor como Firewall y, a los 2 dias, puse el avg porque no me decidia que antivirus poner .
Aca les dejo los troyanos (los busque en internet y nada de ellos me salio):

Código: Seleccionar todo

"Troyano Generic17.JOW"; "C:\System Volume Information\_restore{8AE9C464-5592-4BB0-8108-891AF23F0425}\RP11\A0004852.exe"; "El objeto es inaccesible."; "15/04/2010, 03:15:13 p.m."; "archivo";"C:\WINDOWS\explorer.exe"
"Troyano Generic17.JOW"; "C:\System Volume Information\_restore{8AE9C464-5592-4BB0-8108-891AF23F0425}\RP11\A0004852.exe"; "Mover a la bóveda de virus"; "15/04/2010, 03:08:12 p.m.";"archivo"; "C:\WINDOWS\system32\svchost.exe"

Les comento que la lleve a formatear porque me tiraba directamente una pantalla azul despues de entrar a windows en cualquier modo y no la podia ni usar. Pero el chabon me devolvio la compu peor:
1ero me dijo que no puedo tener Windows XP Service Pack 3 porque mi maquina no lo corria y instalo el Service Pack 2 ya que tengo un procesador especial y que se yo, cuestion que es mentira porque la compu la tengo con el Service Pack 3 desde hace años y nunca me paso nada hasta ahora q fue un error mio por apagarla mal.
2do no puedo muchos programas porque los recursos de la compu se me van al 100%! y eso que en la otra usaba el jdownloader, mas el antivirus, el firewall y el No$GBA (un emulador de Nintendo DS que te consume los recursos al 100% pero no te congela la maquina n inada) y ahora quiero abrir el jdownloader y se me traba la compu.
3ero como que se ve peor la pantalla, no anda mal el monitor sino que se me todo mas brilloso y molesto. Ya probe configurar brillo, color, nitidez y esas cosas desde el monitor y desde la cpu, pero nada lo cambia, sera por el Service Pack 2?

creo que no hay nada mas que decir, solo te tendría que dejar el procesador de mi maquina que creo es un Monoprocesador ACPI de PC

suerte loco, espero que no se te haga pesada la lectura y discupa si me fui de tema pero estaba muy caliente

[lucl]

Bueno los virus los tienes en el restore y eso pasando tu antivirus con el pc encendido en modo seguro deberias poder quitarlos. No obstante te dire que si no lo has actualizado al sp3 lo hagas inmediatamente porque seguro que ese es uno de los motivos de los fallos de los recursos. Tu mismo indicas que antes de llevarlo al tecnico te iban bien ciertos programas asi que actualizalo lanzando un windows update desde Inicio. Y una vez actualizado nos comentas como te va, saludos.

[Apikalegusta]

gracias maestro, pero tiene razon el tecnico de que mi procesador puede volver a fallar (segun el) por tener sp3? Porque sino lo dejo tal cual esta.

Pasando de tema, volvi a pasarle el antivirus al explorer.exe (haciendole click derecho encima) y no me encontro nada...



Ah una ultima cosita si no es mucha molestia, tengo 3 procesos muy curiosos que antes de formatear no tenia: smss.exe, csrss.exe y exploder.exe. Del exploder no encontre nada de nada pero del smss y del csrss encontre que puede ser un virus o no, como hago para averiguarlo??



muchas gracias gente, se te agradece.



EDIT: una duda mas, si actualizo al sp3 no se me va a poner mas lenta la compu? suerte gracias

[msc hotline sat]

Los otros dos son normalmente del sistema, pero este EXPLODER.EXE es muy sospechoso



Envianoslo para analizar, pues puede ser una variante del Troyano VAVICO :



http://www.auditmypc.com/process/exploder.asp



Posiblemente esté en C:\windows\ o en C:\windows\system32\







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-4-2010

[Apikalegusta]

el explorer no esta en ningun lado, creo que no se instalo porque cuando estaba instalando un programa (no me acuerdo cual, pero no era malicioso y era de buen origen) el Online Armor me detecto lo detecto y lo puse bloquear para que no se inicie asi que parece que no se instalo ya que busco en la carpeta que me dice el OA (system32/URTTemp) y en la que me dicen ustds y no aparece nada.



Una cosa mas, ponga la compu en modo a prueba de fallos y quiero iniciar un analisis con el avg pero no aparece nada, antes tocaba en algun boton del avg y me saltaba para hacer analizis directamente, hay alguna otra forma de hacerlo arrancar en modo a prueba de fallos??

[lucl]

Una cosita te pregunto, cuando hablas del explorer es exploder o explorer? Aclaralo porque en un post pones una cosa y en otro otra y no sabemos a cual te refieres o si cuando pusiste exploder fue un error al teclear. Y lo del modo a prueba de fallos lo que puedes hacer es pasarte un online que ese si podras pasarlo, te dejo link de uno que aunque lento es efectivo





http://www.kaspersky.com/kos/english/kavwebscan.html





y nos pegas el log resultante si sale virico, saludos.

[msc hotline sat]

Sí, muy oportuna lucl con su pregunta, pero pedimos el EXPLODER porque es el que dice que tenia en proceso:

"Ah una ultima cosita si no es mucha molestia, tengo 3 procesos muy curiosos que antes de formatear no tenia: smss.exe, csrss.exe y exploder.exe. Del exploder no encontre nada de nada pero del smss y del csrss encontre que puede ser un virus o no, como hago para averiguarlo??"·

y en cambio ahora dice :

el explorer no esta en ningun lado, creo que no se instalo porque cuando

cuando el EXPLORER.EXE es del sistema y está si usa windows...

En fin, parece que las R y las D no son su fuerte, asi que mejor confirme lo que nos indica al respecto... y aparte nos postee el informe que se le pide del AV ONLINE, gracias

saludos
ms, 18-4-2010

[Apikalegusta]

un pequeño error de tipeo , si es exploder.exe con D pero no aparece en ninguna carpeta, ahora dejo haciendo el analisis, muchas gracias por toda la ayuda.

[msc hotline sat]

Pues gracias por aclararlo, y vemos en la imagen que se carga desde C:\windows\system32\URTTemp\exploder.exe y aunque pueda parecer que no está ahí, si es lanzado y está en uso desde dicha ubicación, puede estar oculto, prueba el ELIMOVER y con un copiar y pegar le das a buscar dicho fichero, asi lo copiará en C:\muestras, sin atributos, desde donde te será muy fácil enviárnoslo.

ELIMOVER -> http://www.zonavirus.com/descargas/elimover.asp

saludos
ms, 18-4-2010

[Apikalegusta]

Buenas gente, ya pase el EliMover pero no encontro el fichero tal cual me paso a mi, no esta oculto, es como si hubiera desaparecido.
Tengo otro problemita mas, quise pasar el scan del Kaspersky Online en modo a prueba de fallos y me salto esto:

• Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.

• You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Key is expired]

Me pase 1 hora y media esperando que descargue todo lo que necesita, que debo hacer porque la verdad que no entendi que paso ya que tengo internet, termino de bajar todo y no quiere arrancar.

suerte gente

EDIT: ayer y hoy el avg me tiro unos cartelitos con estos troyanos:

• "Encontrado Tracking cookie.Fastclick" ; "C:\Documents and Settings\JAVIER\Datos de programa\Mozilla\Firefox\Profiles\23d5pza3.default\cookies.sqlite" ; "" ; "18/04/2010, 06:16:03 p.m." ; "archivo" ; "C:\Archivos de programa\Mozilla Firefox\firefox.exe"

• "Encontrado Tracking cookie.Yieldmanager" ; "C:\Documents and Settings\JAVIER\Datos de programa\Mozilla\Firefox\Profiles\23d5pza3.default\cookies.sqlite" ; "" ; "17/04/2010, 10:27:33 p.m." ; "archivo" ; "C:\WINDOWS\explorer.exe"

• "Encontrado Tracking cookie.Revsci" ; "C:\Documents and Settings\JAVIER\Datos de programa\Mozilla\Firefox\Profiles\23d5pza3.default\cookies.sqlite" ; "" ; "17/04/2010, 05:58:30 p.m." ; "archivo" ; "C:\WINDOWS\explorer.exe"

Pero no los puedo borrar ya que son archivos del firefox que se vuelve a crear solos cuando lo abris.
El Yeldmanager me lo agrego solo en excepciones el avg y ahora no se como sacarlo de ahi ya que no lo encuentro en ninguna opcion.

Otra cosa interesante que me esta pasando es que no veo ciertos iconos en el firefox, hasta ahroa solo me pasa que no veo el boton editar ni quotear de este foro.

suerte gente, gracias y ya actualize a sp3!

[msc hotline sat]

Para eliminar los virus del SYSTEM VOLUME INFORMATION\_RESTORE debe desactivar la restauracion de sistema, arrancar en modo seguro y lanzar de nuevo su antivirus, que asi podrá eliminarlos



Boton derecho en MIPC -> Propiedades -> Restauracion -> Desactivar la restauracion de sistema



No se olvide de volver a activar la restauracion tras haber eliminado dichos ficheros.



saludos



ms, 19-4-2010

[Apikalegusta]

pero no puedo pasar el antivirus en modo a prueba de fallos, no arranca, y el que me pasaron online me tira error porque segun la pagina de kaspersky no esta disponible por el momento, tienen algun otro?



suerte

[msc hotline sat]

Debe instalar un antivirus residente y arrancando con él proceder como se le ha indicado

y antivirus tiene para escoger, gratuitos o de pago, si bien estos últimos debe adquirirlos después de probarlos: http://www.zonavirus.com/descargas/antivirus.asp

Por nuestra parte, si ya no existe el EXPLODER.EXE y los ficheros infectados están en el RESTORE, no activos, y el resto son Cookies, sin prisa haga lo indicado y limpie el RESTORE, aunque ya no le afecte por ahora, damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 19-4-2010