Backdoor.Prorat 19 (CERRADO)

fircsix · Mensaje por **fircsix** » 28 Nov 2004, 11:43

Tengo un problema con este troyano ya q me tomo control de la computadora. intente elminarlo con un antivirus pero volvio a aparecer. Despues lo borre del registro de windows y tambien volvio a aparecer y despues me empezaron a dejar de funcionar programas incluido el antivirus. Desde ya toda solucion a este problema seria bien recibida ya q intente de todo y no puedo eliminar el virus.

Saludos.

fircsix

Mensaje por **admin** » 28 Nov 2004, 18:10

Todo lo c que comentaste lo hizites en modo seguro???

Por lo que me dices NO.

Arranca en ~~[b]~~modo seguro con funciones de red[/b] y pasale un antivirus on line

Mensaje por **maura63** » 28 Nov 2004, 18:37

Y si quieres alguna informacion al respecto consulta link

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.prorat.html

Saludos

maura63

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 02:34

Si tambien intente hacerlo en modo a prueba de errores pero no salio. Desactive restaurar sistema y lo inicie en ese modo y lo elimine del registro y el archivo q el virus crea ktd32.atm pero todo vuelve aparecer al reiniciar la maquina.

Saludos

fircsix

Mensaje por **maura63** » 29 Nov 2004, 02:38

Segun el tipo de conexcion a internet que tengas podras pasarle un antivirus online en modo seguro y con funciones de red, prueba

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

· Panda Software

http://www.pandasoftware.es/activescan/es/activescan_principal.htm

· Symantec

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym

Saludos

maura63

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 07:16

y mira probe lo q me dijiste pero en el momento de entrar al antivirus online no pude xq estaba en modo a prueba de errores y ~~[b]~~no se q como hacer para conectarme cuando estoy en ese modo [/b]por lo q te pido si me podes ayudar con este tema.

Gracias y Saludos.

fircsix

Mensaje por **maura63** » 29 Nov 2004, 07:20

Conectarte en ese modo a internet, depende del tipo de conexcion que tengas.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 07:45

mi conexion es por banda ancha cablemodem no se si te servira saberlo pero te lo mando igual.

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 11:26

me baje el progrma hijackthis y estos fueron los resultados

Logfile of HijackThis v1.98.2

Scan saved at 10:27:25 p.m., on 29/11/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SERVICES.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE

C:\MOUSE_MX\MSBB.EXE

C:\WINDOWS\SYSTEM\RUNDLL32~.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\Monwow.exe

C:\MOUSE_MX\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.shopnav.com/search/9886/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.shopnav.com/apps/epa/epa?cid=shnv9886&s=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.shopnav.com/apps/epa/epa?cid=shnv9886&s=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run= C:\WINDOWS\system\sservice.exe

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CARCHIVOS%20DE%20PROGRAMA%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\exmio84y.slt\prefs.js)

O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O2 - BHO: SuperBar - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\ARCHIVOS DE PROGRAMA\SUPERBAR\SUPERBAR1.DLL

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O2 - BHO: (no name) - {2C9AABA9-7835-475B-89F1-AE3466C6616A} - C:\WINDOWS\SYSTEM\MSJEIT40.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O3 - Toolbar: SuperBar - {141A3D37-ABB3-4E94-BB1F-A66FC4497024} - C:\ARCHIVOS DE PROGRAMA\SUPERBAR\SUPERBAR1.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMenu.EXE"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [msbb] C:\MOUSE_MX\MSBB.EXE

O4 - HKLM\..\Run: [srng] \Program Files\Srng\Srng.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KaZooM] C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [Vgasoftware] C:\WINDOWS\APPLIC~1\MESSTH~1\dupe peak.exe

O4 - HKCU\..\RunServices: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\RunServices: [Vgasoftware] C:\WINDOWS\APPLIC~1\MESSTH~1\dupe peak.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O4 - Startup: Resume Windows Update Installation.lnk = C:\WINDOWS\Windows Update Setup Files\ie6setup.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: Ebates - file://C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Ebates - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - file://C:\Archivos de programa\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm (file missing) (HKCU)

O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm (HKCU)

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

Mensaje por **maura63** » 29 Nov 2004, 18:08

Utilizas Netscape como navegador :?:

Tienes la PC a tope de basura.Prueba estos programas

Eliminacion de adwares y spywares

Spybot S&D

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Ad_Aware SE

Ad-Aware SE Personal Build 1.05 + Parche en español

http://www.infospyware.com/

Eliminación de paginas de inicio en el internet explorer y no restaurables,dialers,secuestros del navegador, etc:

CWSHREDDER 2.0

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema siempre en modo seguro o modo a prueba de fallos segun sistema operativo y finalizar solucionando problemas o eliminar todo lo que detecten. No olvidar en el caso de Spybot pulsar sobre inmunizar hasta que nos indique que todos los elementos malignos estan bloqueados.

Como utilizas ME no olvides desactivar restaurar sistema antes de pasar los programas y hazlo en modo seguro.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 22:33

muchas gracias maura voy a hacer lo q me dijiste y haber lo q pasa.

fircsix · Mensaje por **fircsix** » 29 Nov 2004, 23:59

hice lo q me dijiste maura y estos son los nuevos resultados del hijackthis

Logfile of HijackThis v1.98.2

Scan saved at 10:57:39 a.m., on 30/11/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SERVICES.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE

C:\WINDOWS\SYSTEM\RUNDLL32~.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\Monwow.exe

C:\LIMPIAR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run= C:\WINDOWS\system\sservice.exe

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CARCHIVOS%20DE%20PROGRAMA%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\exmio84y.slt\prefs.js)

O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMenu.EXE"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KaZooM] C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [Vgasoftware] C:\WINDOWS\APPLIC~1\MESSTH~1\dupe peak.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE10\EXCEL.EXE/3000

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

tambien descubri q el virus creo una carpeta llamada Mouse_MX q parece q esta almacenando copias de todos mis programas alli y hace q los verdaderos no funcionen porque el ad-ware me dejo de andar pero fui a esa carpeta y lo encontre puse cortar y lo pege sobre el q estaba en archivos de programas y me anduvo de nuevo.

en cuanto a lo del netscape no, antes lo utilizaba porque no me podia conectar a internet por el IE pero ahora me quedo ahi porque ahora me funciona el IE.

Saludos.

fircsix

Mensaje por **maura63** » 30 Nov 2004, 00:09

Esta entrada es del propio virus

F1 - win.ini: run= C:\WINDOWS\system\sservice.exe

Has seguido los pasos del enlace de symantec :?:

Tienes tu norton actualizado al dia,deberia eliminarlo.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 30 Nov 2004, 02:55

maura te cuento lo q me pasa cuando quiero usar norton: directamente no lo abre. No pude hacer q se abra el scan de antivirus. Tal vez sea porque el virus tiene proteccion contra norton. Incluso sacandolo de la carpeta Mouse_MX me funciono.

Habra q probar por otro lado?? Tal vez si utilzo un norton mas actualizado q el 2000?

Saludos.

fircsix

Mensaje por **maura63** » 30 Nov 2004, 03:01

Desactiva restaurar sistema al usar ME y en modo segura con todo cerrado lanza el hijackthis pulsa scan y marcas la casilla de esta entrada

F1 - win.ini: run= C:\WINDOWS\system\sservice.exe

luego pulsa FIX y aceptas. Vuelve a intentar pasar el antivirus.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 30 Nov 2004, 17:22

Maura te cuento mi situacion:

Desactive restaurar sistema y apague y prendi en modo seguro.

Modifique y elimine el registro del virus en el sistema (aunque al ratito q me fije de nuevo ya estaban ahi otra vez)

Despues use el Hijackthis y fixie el services.exe pero ratito despues scanie de nuevo y estaba otra vez alli

Luego quise utilizar el Norton pero no pude pero esta vez pude utilizar el Panda y ahi fue que encontro como 12 archivos infectados (casi todos del RESTORE y otros WINDOWS) y desinfecto 10 los dos que no desinfecto ni nada fueron el service.exe y el revinwg.dll porque decia que los estaba utilizando windows. El revinwg.dll era uno de los archivos creados por el virus junto con winkey.dll pero a este ultimo si pudo desinfectarlo.

Reinicie la maquina y ahi no mas antes de inicir sesion me aparecio el cartel de ~~[b]~~Norton [/b]diciendome que los archivos revinwg.dll y winkey.dll habian sido desinfectados y que ahora podian utilizarse. Fui a donde estaban y no los encontre pero si a services.exe y tambien estaba todavia en el registro y en el hijackthis. Ademas de que mi Firewall como siempre me informo un intento de acceder a la red por parte de services.exe.

Asi que sospecho que aun no me he liberado del molesto troyano.

Saludos.

fircsix

Mensaje por **maura63** » 30 Nov 2004, 18:20

Vuelve a pegarnos un log de hijackthis.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 01 Dic 2004, 14:35

Aqui esta como notaras sigue apareciendo la entrada del service.exe.

Logfile of HijackThis v1.98.2

Scan saved at 10:34:25 a.m., on 01/12/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SERVICES.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE

C:\WINDOWS\SYSTEM\RUNDLL32~.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\WINDOWS\SYSTEM\SYMLCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\WINFAX\WFXCTL32.EXE

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\Monwow.exe

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\LIMPIAR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run= C:\WINDOWS\system\sservice.exe

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CARCHIVOS%20DE%20PROGRAMA%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\exmio84y.slt\prefs.js)

O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMenu.EXE"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KaZooM] C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [Symantec Core LC] C:\WINDOWS\SYSTEM\symlcsvc.exe start

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [BootWarn] C:\Archivos de programa\Norton AntiVirus\BootWarn.exe /a

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKCU\..\Run: [Vgasoftware] C:\WINDOWS\APPLIC~1\MESSTH~1\dupe peak.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O4 - Startup: Resume Windows Update Installation.lnk = C:\WINDOWS\Windows Update Setup Files\ie6setup.exe

O4 - Startup: Controlador.LNK = C:\Archivos de programa\Symantec\WinFax\WFXCTL32.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE10\EXCEL.EXE/3000

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 01 Dic 2004, 17:37

Otro punto interesante es que despues probe de nuevo en modo seguro y me aparecieron 4 infectados estos fueron los resultados del Panda:

Virus detectado: Trj/Anything Análisis antivirus inmediato 01/12/04 12:46:49 Informado Ubicación: C:\WINDOWS\services.exe

Virus detectado: Trj/Anything Análisis antivirus inmediato 01/12/04 12:38:10 Desinfectado Ubicación: C:\WINDOWS\SYSTEM32\fservice.exe

Virus detectado: Bck/Prorat.G Análisis antivirus inmediato 01/12/04 12:28:43 Informado Ubicación: C:\WINDOWS\SYSTEM\reginv.dll

Virus detectado: Trj/Anything Análisis antivirus inmediato 01/12/04 12:28:20 Desinfectado Ubicación: C:\WINDOWS\SYSTEM\sservice.exe

Algunos parecen que fueron infectados con el Trj/Anything y otros con el Bck/Prorat. Los que dicen "informado" no los pude eliminar porque decia que los estaba usando windows incluso en modo seguro.

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 02 Dic 2004, 14:00

Perdoname Maura que moleste pero necesito una solucion si se te ocurre otra idea por favor publicala. Te estara eternamente agradecido.

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 03 Dic 2004, 05:37

Bueno creo que no me queda mas que rendirme. He bajado otro removedores de troyanos y ninguno funciona. No puedo hacer que se inicien asi que supongo que eso sera el virus. Estoy... muy... cerca... de... formatear... :cry: :cry:

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 03 Dic 2004, 22:50

Weno les cuento: ayer estaba deseperado queria sacarme el troyano de encima y entonces me puse a dar vueltas por todo internet y encontre una pagina que trataba exclusivamente este tema. Me la puse a leer y es cuando leo que dice que Backdoor.Prorat viene junto con otro virus W32/PMX.A.WORM y que el troyano va ocultando al worm dandole proteccion (por ejemplo a mi siempre los antivirus me detectaban el troyano o algunos no me funcionaban directamente). Otro punto es que decia que el Backdoor.Prorat abria un servidor en tu PC ademas del que tienes llamado Prorat.

Mas tarde lei como sacarlo (menudo problema) hay que instalar un programa llamado Prorat v1.9 el mismo parecia ser un programa para hacker pero tenia una utilidad muy buena: podia desinfectar y eliminar el servidor Prorat con tan solo hacerle click. Pues bien entonces segui los pasos y una vez desinfectado reinicie y... todo volvio a la normalidad: todos los antivirus funcionaban, el firewall ya no me detectaba el services.exe y el registro estaba limpio del troyano.

Despues de todo esto solo me queda el worm W32/PMX.A.WORM creo que podria eliminarlo por mi cuenta pero si alguno tiene alguna sugerencia nunca esta de mas.

Bueno esta charla se hizo muy extensa asi que les mando un saludo lleno de alegria.

Saludos.

fircsix

fircsix · Mensaje por **fircsix** » 03 Dic 2004, 23:34

Aqui les dejo mi hijackthis por si las dudas:

Logfile of HijackThis v1.98.2

Scan saved at 10:16:46 a.m., on 03/12/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\LIMPIAR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lkeplnqdvnyz.net/7613LtK3_NKXZBZQIpSLsLcugbgdEd08hUDBWVN1xmjpOtSEai3kIKCXVzfEp0HY.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.tbthmookxmyvirq.com/7613LtK3_NJhDdz/HckVIJ7KCMLO2xfvFcRGcJdU6sM.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: (no name) - {6BAFD268-4270-0839-9DE1-FCC0792327B2} - C:\WINDOWS\APPLICATION DATA\INTRANEWLOUD\SHOW SCR.EXE

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.3000.1001\ES\MSNTB.DLL

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMenu.EXE"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KaZooM] C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Intra Dumb Dog Atom] C:\WINDOWS\All Users\Application Data\FUNK MAGS INTRA DUMB\MODE AMOK.exe

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [Vgasoftware] C:\WINDOWS\APPLIC~1\MESSTH~1\dupe peak.exe

O4 - HKCU\..\RunOnce: [mozilla_cleanup] C:\ARCHIVOS DE PROGRAMA\NETSCAPE\NETSCAPE 6\XPICLEANUP.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O4 - Startup: Resume Windows Update Installation.lnk = C:\WINDOWS\Windows Update Setup Files\ie6setup.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE10\EXCEL.EXE/3000

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

Saludos.

fircsix

guillermus · Mensaje por **guillermus** » 04 Dic 2004, 01:11

tenes idea como entra el prorat a una pc? osea el medio por el cual se instala..

grax

Mensaje por **maura63** » 04 Dic 2004, 01:58

Elimina con hijackthis estas entradas las marcas y pulsa fix, recuerda modo seguro y desactiva la restauracion del sistema.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lkeplnqdvnyz.net/7613LtK3_NKXZBZQIpSLsLcugbgdEd08hUDBWVN1xmjpOtSEai3kIKCXVzfEp0HY.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.tbthmookxmyvirq.com/7613LtK3_NJhDdz/HckVIJ7KCMLO2xfvFcRGcJdU6sM.html

O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

O2 - BHO: (no name) - {6BAFD268-4270-0839-9DE1-FCC0792327B2} - C:\WINDOWS\APPLICATION DATA\INTRANEWLOUD\SHOW SCR.EXE

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM\..\Run: [KaZooM] C:\ARCHIVOS DE PROGRAMA\BLUE HAVEN MEDIA\KAZOOM\KAZOOM.EXE

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

Vuelve a pasar antivirus y Spybot y comprueba el resultado.

Saludos

maura63

fircsix · Mensaje por **fircsix** » 04 Dic 2004, 04:26

Me agrada comentarles que me he deshecho del worm!!!

Fixie las entradas que me indicaste Maura, luego pase el antivirus (encontro aproximadamente 290 archivos infectados) y desinfecto todos los archivos. Tambien pase el Spybot y me encontro una sola entrada BackOriffice.B y tambien la elimine. Luego fui al registro elimine la clave Mouse_MX2 y luego fui C:/Mouse_MX y elimine toda la carpeta. Es cierto que algunos programas me dejaron de andar pero con el tiempo los volvere a instalar. Por ahora festejo con la buena noticia de que mi PC no tiene mas virus!!!!

Saludos.

fircsix

PD: podemos dar por cerrado el tema jeje

aimar24 · Mensaje por **aimar24** » 01 Oct 2005, 01:12

[quote="fircsix"]Weno les cuento: ayer estaba deseperado queria sacarme el troyano de encima y entonces me puse a dar vueltas por todo internet y encontre una pagina que trataba exclusivamente este tema. Me la puse a leer y es cuando leo que dice que Backdoor.Prorat viene junto con otro virus W32/PMX.A.WORM y que el troyano va ocultando al worm dandole proteccion (por ejemplo a mi siempre los antivirus me detectaban el troyano o algunos no me funcionaban directamente). Otro punto es que decia que el Backdoor.Prorat abria un servidor en tu PC ademas del que tienes llamado Prorat.

Mas tarde lei como sacarlo (menudo problema) hay que instalar un programa llamado Prorat v1.9 el mismo parecia ser un programa para hacker pero tenia una utilidad muy buena: podia desinfectar y eliminar el servidor Prorat con tan solo hacerle click. Pues bien entonces segui los pasos y una vez desinfectado reinicie y... todo volvio a la normalidad: todos los antivirus funcionaban, el firewall ya no me detectaba el services.exe y el registro estaba limpio del troyano.

Despues de todo esto solo me queda el worm W32/PMX.A.WORM creo que podria eliminarlo por mi cuenta pero si alguno tiene alguna sugerencia nunca esta de mas.

Bueno esta charla se hizo muy extensa asi que les mando un saludo lleno de alegria.

Saludos.

fircsix[/quote]

Hola Buenas!!

He leído el mensaje que ponía fircsix, y tenía el mismo problema que tengo yo. Pero ha explicado como lo solucionó pero no ha puesto ACCESOS DIRECTOS para poder arreglarlo los demás.

Si alguien sabe como conseguir el programa "Prorat v1.9" se lo agradecería. Porque yo ya no se que hacer para quitar el "Backdoor.Prorat". Y estoy a un paso de formatear.

He seguido los pasos que dice el Norton, pero resulta que en el REGEDIT no se encuentran esos archivos. Y no me deja de ninguna forma limpiar este virus

GRACIAS POR ADELANTADO!!!

Jose!

Mensaje por **msc hotline sat** » 19 Oct 2005, 10:53

Debido a que no estaba en España estos días me pasó por alto este tema, que hoy al buscar otro relativo al Prorat actual, con el buscador del foro me ha aparecido como pendiente,. y paso a contestarlo y cerrarlo, para seguir en uno actual sobre el particular en:

https://foros.zonavirus.com/viewtopic.php?t=8894&highlight=prorat

y asi no tener dos frentes abiertos del mismo Tema

Hoy subiremos a esta web una nueva version del ELITRIIP para controlar por descripcion a este backdoor AVW segun McAfee que algunos llaman antivirus Prorat.

Si llegamos a tiempo para este post, Vean de utilizar dicho ELITRIIP 1.72 que vamos a subir, mientras recibimos las muestras del fservice.ese y del services.exe que crea como ficheros gusano. y que no hay que confundoir con el services.exe de sistema operativo.

Cualquier comentario debe hacerse en el Tema del link arriba indicado, gracias

saludos

ms, 19-10-2005

Backdoor.Prorat 19 (CERRADO)

Backdoor.Prorat 19 (CERRADO)

¿?