-Mi pc esta mas lenta
-Internet explorer da problema
-El inicio de windows es mas lento
Mire los programas de inico y vi que se carga el nerocheck ese progmita segun lo que se es el encargado de verificar las actualizaciones del nero.
hace tiempo tenia ese archivo cargandose y lo elimine sin mayor problema y nuca mas volvio a aparecer.
pero hoy son cuantro archivos los que se cargan con el nombre de "nerocheck" lo que me hace dudar.
tambien vi que al iniciar windows se carga el proceso iexplorer.exe sin aver abierto el internet explorer.
e intentado eliminar esos programas de inicio pero solo los elimino y vulven a aparecer pasa lo mismo con el proceso iexplorer.exe e intentado borrar las entradas del registro pero vuelven a parcer es intentado borrar el archivo nerocheck de la carpeta de windows pero vuleve a aparcer. (Ya intente borrarlo en modo aprueba de fallos)
me escaneo con mi antivirus pero no detecta nada.
Lo ultimo que se me ocurrio fue mandar el archivo nerochek a virustotal.com
y un tal clamav detecto un tal trojanflux ese fue el unico antivirus que detecto algo lo que me hace estar mas preocupado.
es imposible parar el proceso y quitar esos programas del incio!
si de algo sirve aqui esta mi log del hijackthis
[quote]Logfile of HijackThis v1.99.1
Scan saved at 12:25:08, on 30/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\yahoo\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\yahoo\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe[/quote]
aqui vi algo extraño el proceso de iexplorer.exe ya no estab ni los programas de inicio a si que supuse que mi atacante se habia dado cuenta que lo habia descubierto y posiblemente modifico algo.
busque la descripcion del flux y vi que todo concuerda con lo que tien mi pc incluso de los programas de incio tenian el * como dice en la descripcion:
pero el problema que mi antivirus no lo detecta y ningun otro de los de virustotal solo un tal clamav detecto algo malo.
bueno volvi a reiniciar windows para comprobar si todavia esta infectado y me di cuenta que ya no se cargaban los programs de incio ni el proceso nercheck abri la consola de msdos y teclee netstat para ver las conexiones
oohh sorpresa vi que mi pc estaba conecta a esta direccion:
217-249-60-81.user.auna.net
lo que me confirma que sigo infectado por el troyano y de alguna manera lo modifico y ahora no se donde recide
el archivo. nerocheck ya no se encuentra en la carpeta de windows, lo que e notado es que al iniciar windows el proceso explorer.exe trabaja casi al 100% lo que me hace pensar que el troyano se inyecto ahi.
mi antivirus por alguna razon ya no lo puedo actualizar me dice que ay fallas en la conexion y mi ultima actualizacion fue el 26 de octubre y ya no e podido actualizarlo..
quisiera saber como elimiar este troyano.
Gracias de antemano
msc hotline sat Virus Research Engineer