Ayuda contra troyan dropper

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 20 Nov 2004, 06:44

Saludos>

Recientemente fui infectado por el troyan dropper, lo elimine, pero a partir de entonces mehan aparecido los siguientes problemas>

Cuando inicio windows se me abren varias ventanas de una pagina de busqueda

<a target="_blank" href="http://searchmiracle.com/text/search.php?qq=poker">poker</a> online... Una vez las cierro el explorer va bien pero se abre de vez en cuando la barra de busqueda con la misma pagina de <a target="_blank" href="http://searchmiracle.com/text/search.php?qq=poker">poker</a> online.

el teclado no funciona correctamente

Algunas paginas de internet no puedo acceder, parece que hay un error con los controles activeX

Fallos en el outlook

No se si habra mas problemas

Utilizo windows xp corporativo, zone alarm y norton <a target="_blank" href="http://searchmiracle.com/text/search.php?qq=antivirus">antivirus</a>

Es posible solucionar esto sin necesidad de reinstalar windows?

gracias por la ayuda

Mensaje por **cañera** » 20 Nov 2004, 22:48

http://www.vsantivirus.com/sub7drpr-b.htm

mira esa información por si te quedó algun archivo sin eliminar.

aparte bajate spybot,adaware SE y spywareblaster;

entras en a modo prueba de errores desactivando restaurar sistema;

inicio/mi pc,clicas con botón derecho/propiedades/restaurar sistema,lo desactivas y aceptas.apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

pasa tu antivirus actualizado junto al spybot y adaware actualizados tambien,una vez terminado le pasas el spywareblaster.y ya cuando termine tambien te eliminas basura que se acumula en los pc's:

inicio/todos los programas/accesorios/herramientas del sistema/liberador de espacio en disco y aceptas.

cuentanos como te fue.

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 21 Nov 2004, 04:00

Gracias por la ayuda, pero he hecho todo lo que me recomiendas y nada, todo sigue igual.

Supongo que lo mejor es formatear y reinstalar windows...

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 21 Nov 2004, 04:24

Bueno lo del teclado lo he arreglado, però siguen abriendose ventanas del poker online cuando inicio el i explorer y cada vez que abro pàginas nuevas, però solo durante las 2-3 primeras pàginas que abro.

El resto bien.

Puedo hacer algo para evitar el p**o poker online?

Gracias por la ayuda

Mensaje por **cañera** » 21 Nov 2004, 04:26

bajate el hijackthis y peganos el resultado para analizarlo...

Hijackthis version: 1.98.2

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip

le das a scan y luego a save y el resultado aparece en el bloc de notas,copiar y pegar en este mismo tema.

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 22 Nov 2004, 00:13

Bueno aquí va la log file. A ver si hay suerte

Y gracias por adelantado, cañera.

Logfile of HijackThis v1.98.2

Scan saved at 15:10:41, on 22/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\taskswitch.exe

C:\WINDOWS\System32\fast.exe

F:\scanner\opware32.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

F:\a2 antivirus\a2guard.exe

F:\ZoneAlarm\zapro.exe

F:\norton\navapsvc.exe

F:\norton\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\Fast.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

F:\emule\emule.exe

C:\Documents and Settings\Judas Ladrillo.MUTANTES-NZGOPG\Mis documentos\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://searchmiracle.com/ads/search.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll

O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL (file missing)

O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

O4 - HKLM\..\Run: [Omnipage] F:\scanner\opware32.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] F:\norton\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Go And Start] svdll32.exe

O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winutm32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe

O4 - HKCU\..\Run: [a-squared] "f:\a2 antivirus\a2guard.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = F:\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MICROS~1\office\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=771aab6407e17cd246b004e5ead7108eb8dcf063dc6b72823084f634e85247620f8876e5c718c2d0a1bb170a7006cb02f30bd52db83cd8ff38d3fb72d88b5ced:bcbeac9adb4287dd435f5ab0907ede44

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100007837778

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A943B47-B330-464C-9EBF-117A6B46BAE8}: NameServer = 195.235.113.3,195.235.96.90

Mensaje por **maura63** » 22 Nov 2004, 00:29

En modo seguro y desactivando restaurar sistema lanza hijackthis pulsando scan y marcas las siguientes entradas, una vez marcadas pulsa FIX y acepta.

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://searchmiracle.com/ads/search.php

O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe

O4 - HKLM\..\Run: [Go And Start] svdll32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=771aab6407e17cd246b004e5ead7108eb8dcf063dc6b72823084f634e85247620f8876e5c718c2d0a1bb170a7006cb02f30bd52db83cd8ff38d3fb72d88b5ced:bcbeac9adb4287dd435f5ab0907ede44

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Pasa antivirus y anti-spyware y luego en modo normal pruebas el resultado.

Saludos

maura63

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 22 Nov 2004, 09:14

Pues nada tu, que seguimos igual.

El pc va bien, per continuan apareciendo las ventanas del exploren con el poker online al principio de iniciar windows (5 ventanas)

He hecho exactamente los instrucciones que me indicais y nada.

Hay algo mas que hacer?

(aparte de formatear, claro)

Saludos

Mensaje por **cañera** » 22 Nov 2004, 09:53

por casualidad tienes algun antipop-ups?

la barra buscadora de google los frena.

cuentanos como te fue.

caito · Mensaje por **caito** » 22 Nov 2004, 11:16

Ve a Inicio-Ejecutar-Regedit-Registro-Exportar archivo del Registro ( elige Todo )( Por si algo sale mal ).

Desactiva Restaurar Sistema ,haz que se vean todos los archivos:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Cierra los navegadores,el windows media,note pad,etc

Lanza el hijack y dale a fix :

O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winutm32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Cierra el Hijack, elimina Archivos Temporales de Internet, contenido carpeta Temp,cookies,historial y vacía la papelera.

Arranca en modo Seguro y elimina este si está :

C:\windows\system32\winutm32.exe

Pasa otra vez el av on line, el Adaware Se actualizado.

Arranca normal y manda un nuevo log.

Salu2

Caito

Judas Ladrillo · Mensaje por **Judas Ladrillo** » 23 Nov 2004, 07:50

Gracias por la ayuda amigos,

Esto ya rueda de pelotas.

Saludos

caito · Mensaje por **caito** » 23 Nov 2004, 08:30

No me queda claro tu respuesta :shock:

Salu2

Caito