troyanos que no se borran.

nephilim · Mensaje por **nephilim** » 04 Ene 2006, 11:41

Se infecto mi ordenador hace unos dias con el spyaxe, restauré el sistema y pareció que habia desaparecido pero desde entonces cada vez que paso el antivirus aparecen infecciones de troyanos. He intentado volver a restaurar el sistema pero me falla la restauración.

aqui dejo el log

Logfile of HijackThis v1.99.1

Scan saved at 11:29:08, on 04/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Antonio\CONFIG~1\Temp\Rar$EX00.813\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132362059312

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE3E335F-F1F4-4E62-A112-5DD68AB768B8}: NameServer = 85.255.116.116,85.255.112.239

O17 - HKLM\System\CCS\Services\Tcpip\..\{F5B870FD-1989-4EE5-8DDA-E98963EE38AB}: NameServer = 85.255.116.116 85.255.112.239

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

Tengo el AVGfree, he pasado tambien el bitdefender online y esto es lo que me dice:

C:\Documents and Settings\All Users\Menú Inicio\Programas\mIRC\mIRC.lnk=>C:\mIRC\mirc.exe

Infectado con: Backdoor.IRC.Zapchast

C:\Documents and Settings\All Users\Menú Inicio\Programas\mIRC\mIRC.lnk=>C:\mIRC\mirc.exe

La desinfección ha fallado

C:\Documents and Settings\All Users\Menú Inicio\Programas\mIRC\mIRC.lnk=>C:\mIRC\mirc.exe

Eliminado

C:\Documents and Settings\All Users\Menú Inicio\Programas\mIRC\mIRC.lnk

La actualización ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015693.exe

Infectado con: Trojan.Downloader.Zlob.AI

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015693.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015693.exe

Eliminado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015694.exe

Infectado con: Trojan.Downloader.Zlob.Z

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015694.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015694.exe

Eliminado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015787.exe

Infectado con: Backdoor.IRC.Zapchast

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015787.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP69\A0015787.exe

Eliminado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP74\A0016430.exe

Infectado con: Trojan.DNSChanger.Gen

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP74\A0016430.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP74\A0016430.exe

Eliminado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017675.exe

Infectado con: Trojan.DNSChanger.Gen

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017675.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017675.exe

Eliminado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017859.exe

Infectado con: Backdoor.IRC.Zapchast

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017859.exe

La desinfección ha fallado

C:\System Volume Information\_restore{0ACB67AF-9B0E-4E99-BA7E-D1D16E658C8E}\RP79\A0017859.exe

Eliminado

C:\WINDOWS\system32\hgqhp.exe

Infectado con: Trojan.DNSChanger.Gen

C:\WINDOWS\system32\hgqhp.exe

La desinfección ha fallado

C:\WINDOWS\system32\hgqhp.exe

Eliminado

Mensaje por **msc hotline sat** » 04 Ene 2006, 13:16

Pues lo unico que aparece raro en el log del HJT es el servidor de DNS, que utilizas uno de Ukraina ...

85.255.116.11 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.239 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Lo que puedan hacer desde un servidor de dominios es lo que quieran cuando accedes a ellos, como cuando accedes a una web...

Sugiero que consultes con tu ISP el servidor de dominios que te aconsejan, y lo implantes con el CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

saludos

ms, 4-1-2006

Noota: Sobre la informacion del ONLINE, a la tercera va la vencida... En cada gusano primero detecta, luego falla y a la tercera indica que elimina, asi que , si es verdad...