Troyano de mision imposible ¿alguien me ayuda?

[Regolas]

Resulta que tengo un troyano un poquito tocapelotas para mi experiencia que es poca o ninguna... la descripcion del troyano es esta:

Esy.exe

Esx.exe

abre publicidad en internet y cuando pongo alguna pelicula empiezan a sonarme sonidos de televisor entrecortados incluso de animales de mis altavoces... tambien cuando guardo partidas de videojuegos al quitar el juego y volver a ponerlo no se a guardado nada...



Y mis pasos hasta ahora han sido estos:



Poner una pelicula y abrir el mezclador de volumen del ordenador para saber el nombre del troyano por eso descubri lo de Esy.exe

analizar el sistema con avira antivirus y no encontro nada...

busque por internet como localizar los troyanos y abri inicio y puse %temp% asique por fin localice al Esy.exe... borre tooodo lo que habia en %temp% pero no me dejaba borrar Esy.exe porque Esx.exe lo tenia abierto...

intente borrar Esx.exe pero no podia porque iexplore.exe lo tenia abierto (que casualidad era el programa de internet explorer...) y como no podia ni borrar nada de internet explorer ni el troyano volvi a google y di con esta pagina...



Asique POR FAVOR si alguien sabe como quitar el troyano este que me diga como porque alfinal hago dos portatiles de un porrazo



[mi version de Windows es Windows 7 si ayuda en algo...] :|

[lucl]

Prueba elistara y nos pegas el log que te dejara en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp





Y a partir de ahi continuamos segun el resultado del log. Saludos.

[Regolas]

[quote="lucl"]Prueba elistara y nos pegas el log que te dejara en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp





Y a partir de ahi continuamos segun el resultado del log. Saludos.[/quote]

No puedo... lo descargo y me salta el antivirus como que es un malware no suprimo el malware intento abrirlo y tampoco me deja abrirlo me pone que ''Windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado. Puede que no tenga los permisos apropiados para tener acceso al elemento''

[lucl]

Mirate este link





https://foros.zonavirus.com/viewtopic.php?f=5&t=32402





Ademas no te preocupes por el aviso del antivirus, no hay problema con las herramientas.



Si aun asi no puedes busca los archivos

Esy.exe

Esx.exe

y añadeles extension .vir de modo que quede asi Esy.exe.vir y con el otro igual. Y subelos a analizar a virustotal , te daran un log cuyo resultado debes pegarnos en caso de que de virico. Te dejo link de virustotal



www.virustotal.com



Si consigues renombrarlos no deberian incordiarte por lo que deberias notar una mejora. Comentanos que conseguiste hacer . Saludos.

[Regolas]

(7-8-2011 09:54:50 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Acción Directa):

C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-8-2011 10:02:38 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Windows\System32\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 18309

Nº Total de Ficheros: 121550

Nº de Ficheros Analizados: 28757

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Hice lo del elistarA y he eliminado los ''.exe'' pero aun queda un archivo ''.txt'' que no se borra y sigue saliendo publicidad etc...

[lucl]

A ver no tenias que eliminar los .exe. Te dije que les añadieras extensión .vir y que los analizaras en virustotal. En fin descargate sprocess y peganos el sproclog resultante que te dejara en C. Dale a ejecutar y cuando te salga un cuadro dale a salir y ve C a por el informe. Lo miraremos, saludos.





http://www.zonavirus.com/descargas/sproces.asp

[Regolas]

no se usar el programa mira que he estado ahi venga y venga aver si lograba hacer un scan... pero le doy y me salen un monton de archivos -.- ¿que pincho en todos?

[lucl]

No, no pinches en nada. El sproces simplemente has de darle a ejecutar y luego salir. Y como ya lo habras echo ve a C y busca sproclog.txt y copianos el contenido. Saludos.

[Regolas]

(7-8-2011 20:21:44 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Home Premium (v6.1)

Internet Explorer: (v8.0.7600.16385) 0

Equipo: ROBERTO-PC

Usuario: roberto

Sesión de Usuario: roberto



18 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\USERS\ROBERTO\DOWNLOADS\SPROCES\SPROCES.EXE

C:\USERS\ROBERTO\DOWNLOADS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O4 - HKCU\..\Run: [Google Update] "C:\Users\roberto\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [CursorFX] "C:\Program Files\Stardock\CursorFX\CursorFX.exe"

O4 - HKCU\..\Run: [CubeDesktop]

O4 - HKCU\..\Run: [8DDYX0ZBPZ] C:\Users\roberto\AppData\Local\Temp\Esx.exe

O4 - HKCU\..\Run: [ZU6RKI1ONY] C:\windows\Etyjaa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"

O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"

O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"

O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"

O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"

O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"

O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"

O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [IgfxTray] C:\windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [TAForOE Loader] "C:\Program Files\TextAloud\TAForOELoader.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm (file missing)

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

O16 - DPF: {6C9B3550-8DF6-415D-9B8F-4B1E74D08355} (IndigoScreen2 ActiveX Control) - http://192.168.1.113/IndigoScreen.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll



Información Adicional:

----------------------

WinSys\Drivers\adp94xx.sys (de 422976 bytes) () Adaptec, Inc.

WinSys\Drivers\bxvbdx.sys (de 430080 bytes) () Broadcom Corporation

WinSys\Drivers\dxgkrnl.sys (de 728448 bytes) () Microsoft Corporation

WinSys\Drivers\elxstor.sys (de 453712 bytes) () Emulex

WinSys\Drivers\http.sys (de 513024 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 710720 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 586752 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 405504 bytes) () Microsoft Corporation

WinSys\Drivers\Wdf01000.sys (de 445008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe

O23 - Service: Oberon Media Game Console service (OberonGameConsoleService) - Unknown owner - C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\drivers\amdsata.sys

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys

O23 - Service: Atheros Extensible Wireless LAN device driver (athr) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\athr.sys (file missing)

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbdx.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys

O23 - Service: EagleNT - Unknown owner - C:\windows\system32\drivers\EagleNT.sys (file missing)

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbdx.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys

O23 - Service: Controladora RAID de Intel para Windows 7 (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iaStorV.sys

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys

O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda32v.sys

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys

O23 - Service: Realtek 8167 NT Driver (RTL8167) - Realtek Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rt86win7.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys

O23 - Service: NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller (yukonw7) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\yk62x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)



60 Servicios.

9 de Carga Automatica.

50 de Carga Manual.

1 Deshabilitados.

[lucl]

De momento sigues teniendo este



O4 - HKCU\..\Run: [8DDYX0ZBPZ] C:\Users\roberto\AppData\Local\Temp\Esx.exe



que esta en temporales, asi que borralo y este otro me huele a chamusquina



O4 - HKCU\..\Run: [ZU6RKI1ONY] C:\windows\Etyjaa.exe



Busca este archivo Etyjaa.exe y subelo a analizar a www.virustotal.com , si da virico nos pegas el log y le añades extensión .vir y lo empaquetas con winrar y le pones de contraseña la palabra virus y nos lo envias para analizar. Sigo mirando el log por si veo algo mas.

[lucl]

Y este esta incompleto, si no lo usas y quieres quitarlo puedes hacerlo si no estas seguro dejalo



O4 - HKCU\..\Run: [CubeDesktop]



y el windows defender lo tienes desactivado es voluntario? saludos

[Regolas]

no, no es voluntario es mas no se ni quitarlo ¿como lo iva a quitar? jajajaja y ok voy a hacer lo que dices 10 minutos y posteo el log

[Regolas]

Antivirus Version Last Update Result

AhnLab-V3 2011.08.09.00 2011.08.09 Trojan/Win32.FakeAV

AntiVir 7.11.13.2 2011.08.09 TR/Arto.cep

Antiy-AVL 2.0.3.7 2011.08.09 Trojan/Win32.Arto.gen

Avast 4.8.1351.0 2011.08.09 Win32:Renos-BGJ [Trj]

Avast5 5.0.677.0 2011.08.09 Win32:Renos-BGJ [Trj]

AVG 10.0.0.1190 2011.08.09 unknown virus Win32/DH.CAFF8400F5

BitDefender 7.2 2011.08.10 Trojan.Generic.KDV.308239

CAT-QuickHeal 11.00 2011.08.09 Trojan.Renos.PG

ClamAV 0.97.0.0 2011.08.09 -

Commtouch 5.3.2.6 2011.08.09 -

Comodo 9688 2011.08.09 -

DrWeb 5.0.2.03300 2011.08.10 Trojan.DownLoader4.31352

Emsisoft 5.1.0.8 2011.08.09 Trojan-Downloader.Win32.Renos!IK

eSafe 7.0.17.0 2011.08.09 -

eTrust-Vet 36.1.8493 2011.08.09 Win32/Renos.N!generic

F-Prot 4.6.2.117 2011.08.09 -

F-Secure 9.0.16440.0 2011.08.09 Trojan.Generic.KDV.308239

Fortinet 4.2.257.0 2011.08.09 -

GData 22 2011.08.09 Trojan.Generic.KDV.308239

Ikarus T3.1.1.107.0 2011.08.09 Trojan-Downloader.Win32.Renos

Jiangmin 13.0.900 2011.08.09 Trojan/Generic.jbfb

K7AntiVirus 9.109.4973 2011.08.02 -

Kaspersky 9.0.0.837 2011.08.09 Trojan.Win32.Arto.cdn

McAfee 5.400.0.1158 2011.08.09 Downloader-CEW.bj

McAfee-GW-Edition 2010.1D 2011.08.09 Heuristic.BehavesLike.Win32.Downloader.D

Microsoft 1.7104 2011.08.09 TrojanDownloader:Win32/Renos.PG

NOD32 6364 2011.08.09 a variant of Win32/Kryptik.REP

Norman 6.07.10 2011.08.09 -

nProtect 2011-08-09.01 2011.08.09 Gen:Variant.Renos.96

Panda 10.0.3.5 2011.08.09 Suspicious file

PCTools 8.0.0.5 2011.08.09 RogueAntiSpyware.VirusDoctor!gen6

Prevx 3.0 2011.08.10 -

Rising 23.70.01.03 2011.08.09 -

Sophos 4.67.0 2011.08.09 Mal/FakeAV-NJ

SUPERAntiSpyware 4.40.0.1006 2011.08.10 Trojan.Agent/Gen-FakeAlert

Symantec 20111.2.0.82 2011.08.09 VirusDoctor!gen6

TheHacker 6.7.0.1.275 2011.08.09 -

TrendMicro 9.500.0.1008 2011.08.09 -

TrendMicro-HouseCall 9.500.0.1008 2011.08.10 -

VBA32 3.12.16.4 2011.08.08 Trojan.Buzus

VIPRE 10118 2011.08.09 -

ViRobot 2011.8.9.4613 2011.08.09 -

VirusBuster 14.0.160.1 2011.08.09 Trojan.Arto!Syk8ItXvnl0





Tengo que ser el caballo de troya tengo coleccion de troyanos...

el Esx.exe no lo encuentro se supone que esta en la carpeta TEMP pero no lo veo...

ah y el archivo Etyjaa.exe no me deja comprimirlo me da error

[lucl]

Y de que archivo es este log? No se ve el nombre , en cualquier caso has de mandarlo para analizar. Añadele extensión .vir para que no te incordie mientras te damos el antidoto y envianoslo de nuevo. Para quitar el del temporales usa elitempo





http://www.zonavirus.com/descargas/elitempo.asp



Pasa elipalevo ,





http://www.zonavirus.com/descargas/elipalevo.asp



y peganos el log de nuevo. Nos dices si eliminaste el de temporales. No te desanimes que ya vamos por buen camino, es que con borrar los .exe al principio que te daban viricos no se soluciona el problema porque vuelven a generarse. Recuerda decirme de que archivo es el log de virustotal ok? Saludos

[Regolas]

el archivo de ese log es Etyjaa.exe

[Regolas]

este log es del Elipalev

(7-8-2011 09:54:50 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Acción Directa):

C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-8-2011 10:02:38 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Windows\System32\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 18309

Nº Total de Ficheros: 121550

Nº de Ficheros Analizados: 28757

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(10-8-2011 07:36:41 (GMT))

EliPalevo v2.58 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 19 de Julio del 2011)

---------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Acción Directa):



(10-8-2011 07:40:21 (GMT))

EliPalevo v2.58 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 19 de Julio del 2011)

---------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18495

Nº Total de Ficheros: 122827

Nº de Ficheros Analizados: 4334

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(10-8-2011 07:46:44 (GMT))

EliPalevo v2.58 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 19 de Julio del 2011)

---------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Acción Directa):



(10-8-2011 07:51:28 (GMT))

EliPalevo v2.58 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 19 de Julio del 2011)

---------------------------------------------

Usuario: roberto

ID de Usuario: S-1-5-21-2789141661-186915839-826018185-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18500

Nº Total de Ficheros: 122855

Nº de Ficheros Analizados: 4334

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Imaginaba que te daria limpio con elipalevo pero como uno de los antivirus te lo habia detectado como palevo pues por eso te dije de pasarlo . ¿Puedes añadirle extensión .vir al archivo? Si puedes hazlo a ver si te lo deja empaquetar. Si no te deja utiliza elimover, has de meterle la ruta completa ok? Deberia poder moverlo a la carpeta muestras y ahi ya podras enviarlo. Te dejo link de elimover



http://www.zonavirus.com/descargas/elimover.asp



saludos.

[Regolas]

Ahi va el Etyjaa comprimido no tiene contraseña no se ponerla todavia tiene la terminacion .vir puesta

[lucl]

No se pueden adjuntar envios de virus al foro!!! Mira como se pone la contraseña en este link





https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



Yo no he podido descargarlo porque mi antivirus ha saltado. Por favor mirate el link y envialo por la pestaña de arriba de envio muestras. Si no le pones de contraseña la palabra virus lo interceptara el servidor y no servira de nada.



He quitado el archivo para que no se lo descargue nadie. Comentanos si pudiste, saludos.

[Regolas]

hace horas que lo he enviado ¿cuanto suele tardar? (comprendo la cantidad de muestras que recibireis al dia pero es por hacerme una idea)

[lucl]

A ver Regolas, lo adjuntaste aqui en el foro, la pregunta es si lo enviaste con la pestaña de envio muestras que tienes arriba a la derecha de la web. Si no lo haces asi no llega, si lo envias bien te lo analizaran pero por desgracia hasta el dia 23 no vuelven los tecnicos porque estan de vacaciones. Piensa que aunque ahora no te de guerra , el virus sigue estando aunque eso si ahora esta digamos fuera de combate pero aun lo tienes, y eso se solucionara cuando analizen la muestra tuya y te den el antidoto. Saludos.

[Regolas]

si lo envie en ''envio muestras'' estuve leyendo el link que me distes y me entere como funcionaba todo

y lo de que llegan el dia 23 ok a mi el virus no me molesta... bueno si pero en solo una cosa que cuando me entro el troyano Esx.exe se me desactivo la conexion por red ahora tengo que estar con el portatil en el suelo y con el cable que va del modem al portatil para que funcione internet que no se como se llama ¿sabes como volver a activar la conexion sin cable?

[lucl]

Normalmente cuando un trojano hace ese tipo de daños hay que volver a instalar los programas que han quedado tocados. No se como hiciste tu la instalación pero normalmente has de volver a instalar si te vino con un cd pues con el cd, danos mas datos para que podamos ayudarte mas claramente ok saludos.

[Regolas]

era por CD -_-v entonces se queda el portatil por cable porque el CD ya no lo tengo... ¿quien me mandaria a mi intentar hacer el servidor privado del metin2? si llego a saber que me iva a quedar sin conexion de red le dan mucho por culo...

[flacoroo]

Pregunta: ejecutaste las herramientas de Elistara y los demas Eli´s en modo a pruebas de fallos o modo seguro?

si no lo haz hecho, hazlo para ver que te lo elimine

[lucl]

Flacoroo eso ya lo ha echo y nos ha enviado muestra que esta pendiente de analisis. El preguntaba por la conexion a internet que la tiene que tener por cable debido al virus. Saludos.

[flacoroo]

muchas veces sucede que configuramos una red virtual, eso hace que se habilite y deshabilite las demas, debe entrar a panel de control, en redes y deshabilitar todas, y dejar habilitada solo la que dice conexion de area local, que pruebe y nos diga como le fue.....

[Regolas]

Hice lo de los Elis tal y como me dijo [color=#00BF00]lucl[/color] y ya el virus tal y como el mismo a dicho el virus esta K.O. no tengo problemas ya pero la red inalambrica antes de que me dijeras que deshabilitara todas escepto la de area local ya estaban deshabilitadas lo mas provable esque sea lo que dice [color=#00BF00]lucl[/color] que el virus me haya tocado la instalacion de la red inalambrica y necesite instalarla de nuevo aunque no se como sin los discos que me dieron del ordenador y modem pero bueno... mientras pueda conectarme por cable de Ethernet siempre sera mejor que nada... cuando no me apetezca volver hasta mi cuarto a conectarme a internet lo hare desde la PS3 y problema resuelto... asique nada gracias [color=#00BF00]lucl[/color] por ayudarme a quitarme de encima a el o los troyanos y bueno esperare hasta el dia 23 para la medicina para terminar de quitar los virus y ya esta.

hasta otra.

[lucl]

Solo un detallito, soy chica :mrgreen: saludos

[Regolas]

:roll:

Lo suponia por el presonaje de nemo pero como no lo tenia claro puse ''èl mismo a dicho'' de todas formas lo siento :lol: