Troyano gordo y malo!!! (solucionado)

[Naara]

A ver, creo que ya he dado la lata con el tema, pero es que no logro quitarme el bicho de encima.

He pasado el Panda on-line, varios anti-spywares en modo a prueba de fallos (tengo el W98SE), y hoy el Kaspersky de gratis me ha dicho que tengo el "Trojan Clicker WIN 32.VB.gc" y en C:\WINDOWS\SYSTEM\MDMVEV.EXE esta el "MDMVEV.EXE", que, por lo visto, es tan bien deleznable, la criaturita. El caso es que no sé cómo eliminarlo manualmente porque el Kaspersky que me dice que él no lo borra. Envío el scan del Hijack de hace unas horas por ver si algún alma buena me echa una mano, por favorrrrr.

Ah, se me olvidadaba, los síntomas son: apertura indiscriminada de pop-us, redireccionamiento y apertura del IE sin haberlo solicitado hacia páginas como "betterinternet" y similares y una lentitud pasmosa.

¡AYUDA!!!! :!: :? :( :( :(

[Naara]

Se me olvidó incluír el log file del Hijack en la demanda de socorro de un poquito más arriba. Aquí está:

******************************************



Logfile of HijackThis v1.99.1

Scan saved at 08:20:02 a.m., on 20/04/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\RAXCO\PERFECTDISK\PDENGINE.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\COBIAN BACKUP 6\COBBU.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE

C:\ARCHIVOS DE PROGRAMA\COBIAN BACKUP 6\COBUI.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\WINOA386.MOD

C:\ARCHIVOS DE PROGRAMA\STAR DOWNLOADER\STARDOWN.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.windows.update

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run=hpfsched

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: Media Playback Support Dll - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - C:\WINDOWS\SYSTEM\BVICORE.DLL

O2 - BHO: ohb Class - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\SYSTEM\NSZD075.DLL

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe

O4 - HKLM\..\Run: [Cobian Backup 6] "C:\Archivos de programa\Cobian Backup 6\CobBU.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE

O4 - HKLM\..\RunServices: [PerfectDisk] C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [kavsvc] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Avisos del Calendario de Microsoft Works.lnk = C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html

O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)

O12 - Plugin for .wav: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

[maura63]

gah95on6 - gah95on6.exe - Process Information

Process File: gah95on6 or gah95on6.exe

Process Name: EliteBar Adware



Description:

gah95on6.exe is an advertising program by EliteBar. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process



Author: EliteBar

Part Of: EliteBar Adware



System Process: No

Background Process: Yes

Uses Network: Yes

Hardware Related: No

Common Errors: N/A



Security Risk (0-5): 2

Spyware: [color=red]Yes [/color]

Adware:[color=red] Yes [/color]

Virus: No

Trojan: No





tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=5148



actualizalos





Saludos

maura63

[maura63]

Prueba tambien esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[msc hotline sat]

Envianos estos ficheros que detectas con el Kaspersky a zonavirus@satinfo.es anexados a un mail cuyo texto sea un copiar y pegar de este post, los analizaremos y añadiremos la cedana de control a nuestra utilidad ELISTARA.EXE para que controle esta variante y la elimine, y te informaremos como respuesta de este Tema



Al monitorizarlos ya veremos las claves que crea en el registro y las restauraremos con dicha utilidad



saludos



ms,20-04-2005

[Naara]

[quote="msc hotline sat"]Envianos estos ficheros que detectas con el Kaspersky a zonavirus@satinfo.es anexados a un mail cuyo texto sea un copiar y pegar de este post, los analizaremos y añadiremos la cedana de control a nuestra utilidad ELISTARA.EXE para que controle esta variante y la elimine, y te informaremos como respuesta de este Tema



Al monitorizarlos ya veremos las claves que crea en el registro y las restauraremos con dicha utilidad



saludos



ms,20-04-2005[/quote]



Lo haré en cuanto me sea posible.

Saludos.

[Naara]

Escribo sólo para deciros que con vuestra ayuda he podido eliminar el troyano que tan malita me tenía. Sin vosotros no hubiera sabido cómo hacerlo. Sois unos soles de mediodía.

Abrazos satisfechos.

Naara :lol: :lol: :lol:



P.S.:...creo que no comprendo bien la forma de hacerte esos ficheros (tendré que buscarlos, además)

[msc hotline sat]

SI ya has solucionado el problema es que eñ ELISTARA.EXE ya los conoce y los ha podido eliminar, por lo que ya no hace falta enviarlos (posiblemente ya no los tengas)



Nos alegramos que se haya solucionado el problema, y em consecuencia cerramos el Tema



saludos



ms, 22-04-2005