#Ayuda#Archivos sin desinfectar

[tetsuo]

Holas!

Hace tiempo ke el pc me va lento, se kuelga de vez en cuando, etc.. Tenía instalado el norton, pero lo he desinstalado y he hecho lo propio (instalarlo, se entiende) con el nod32.



Ayer, nada más pasarle el scaner me detectó varios virus, troyanos y demás. Algunos los desinfectó automáticamente, pero otros no.



Estos son los que siguen ahí:


[quote]C:\Documents and Settings\Mi Equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv54.jar-239e2fcb-7e8e1da6.zip »ZIP »Dummy.class - Java/Dummy (Troyano)



C:\Documents and Settings\Mi Equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv54.jar-239e2fcb-7e8e1da6.zip »ZIP »Matrix.class - Variante modificada de Java/TrojanDownloader.OpenStream.C (Troyano)



C:\Documents and Settings\Mi Equipo\Mis documentos\DivXPlayerPro64-Setup.exe »NSIS »Pixelbt32.exe - Win32/Zapchast (Troyano)



C:\Documents and Settings\Mi Equipo\Mis documentos\DivXPlayerPro64-Setup.exe »NSIS »xpq.exe »NSIS »mgrsts.exe - Win32/TrojanDownloader.IstBar.ER (Troyano)



C:\Documents and Settings\Mi Equipo\Mis documentos\EvID4226Patch223d-en.zip »ZIP »EvID4226Patch.exe - Win32/Tool.EvID4226 aplicación



C:\Documents and Settings\Mi Equipo\Mis documentos\Mi Software\overnet0.51.exe »NSIS »UCmoreIEx.exe »WISE »IUCmore.dll - Win32/Adware.UCmore aplicación
[/quote]



El programa me los ha enviado a 'cuarentena', pero ¿Cuáles son los pasos a seguir?

Desde ya un saludo y gracias adelantadas.

[msc hotline sat]

Algunos antivirus detectan pero no pueden limpiar o eliminar determinados troyanos, spywares, adwares y demas, para lo cual deben usarse las herramientas antispyware, siempre arrancando en modo seguro para ello.



Sigue el tutorial antispyware, y con el SPYBOT y el AD:AWARE, complementamdolos con el ELISTARA si hace falta, los eliminarás, y si alguno no se deja, nos lo indicas y te diremos como enviarnos muestra para implemnentar su control y eliminacion en proxima version del ELISTARA.



tutorial de antispywares:

https://foros.zonavirus.com/viewtopic.php?t=4795





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







sañidps



ms, 20-1-2006

[tetsuo]

Gracias! Siguiendo los pasos he conseguido eliminar todos, menos uno que se resiste:


[quote]C:\Documents and Settings\Mi Equipo\Mis documentos\EvID4226Patch223d-en.zip »ZIP »EvID4226Patch.exe - Win32/Tool.EvID4226 aplicación [/quote]

Este es el log resultante del HijackThis:


[quote][size=75]Logfile of HijackThis v1.99.1

Scan saved at 0:14:14, on 21/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jucheck.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Mi Equipo\Mis documentos\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe[/size]


[/quote]

Un par de cosas más:



- Le pasé el [i]Elistara[/i] y me eliminó un troyano, pero ahora, siempre que reinicio el PC, se me abre el programa, antes de salir las herramientas del escritorio y demás. ¿Cómo deshabilito esa opción? O en su defecto ¿Cómo se desinstala el programa?



- Mientras estuvo desactivada la restauración de sistema, inicié en modo seguro y le pasé el Spyware Search&Destroy, además del Ad-Aware, ambos con el mismo resultado: 0 detecciones.

Sin embargo, al pasarle el Panda ScanActive Online, me detectó lo siguiente:


[quote][size=75]-------------[color=red][b]Detectado[/b][/color] [color=green][b]Desinfectado[/b][/color]

Virus------------ [color=red]2[/color] -------- [color=green]2[/color] ------

Spyware------- [color=red]3352[/color]------- [color=green]0[/color] ------

Herramientas

de hacking y

potencialmente

no deseadas----- [color=red]1[/color] --------[color=green]0[/color]-------

Dialers----------- [color=red]0[/color] --------[color=green]0[/color]-------

Riesgos de

seguridad-------- [color=red]0[/color] --------[color=green]0[/color]-------

Archivos

sospechosos---- [color=red]0[/color] ---------[color=green]0[/color]-------

Jokes------------ [color=red]0[/color] --------[color=green]0[/color]-------[/size][/quote]

Un saludo y gracias por la ayuda!

[msc hotline sat]

Empezando por lo ultimo: Los antispywares no detectan ni elimina virus,. para esto estan los antivirus, y se le detectaron 2 y eliminaron 2. como debe ser, asi que virus eliminados.



La aplicacion potencialmente peligrosa no es virus, y solo se le abisa para que obre en consecuencia o sepa que la tiene instalada )puede ser voluntaria)



En el log del HJT se observa:





teniendo instalado NOD32 no le detectó el virus que le detectó y elimnó PANDA???









ELimine estas claves:



O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll



O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)



O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)



O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s



O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing



(aunque esta yltima deberia kaberse eliminado ya con el SPYBOT o el LPSFIX...)



Tras ello, reinicie y nos cuenta el resultado como resùesta de este Tem,a, gracias



saludos



ms, 21-1-2006

[tetsuo]

[quote="msc hotline sat"]Empezando por lo ultimo: Los antispywares no detectan ni elimina virus,. para esto estan los antivirus, y se le detectaron 2 y eliminaron 2. como debe ser, asi que virus eliminados.[/quote]
Yap, te entiendo. Pero no me refería al hecho de los virus, sino de los spyware. Si con el Panda me aparecen [b]3352[/b] archivos espías, ¿como al pasarle el Ad-aware y el Spyware Se&D me detecta [b]0[/b]?


[quote]teniendo instalado NOD32 no le detectó el virus que le detectó y elimnó PANDA???[/quote]

Sip, me los detectaba pero no los eliminaba. Algunos si, pero otros no.




[quote]En el log del HJT se observa:



ELimine estas claves:



O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll



O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)



O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)



O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s



O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing



(aunque esta yltima deberia kaberse eliminado ya con el SPYBOT o el LPSFIX...)[/quote]

Es ke no estoy muy familiarizado con el HijackThis. ¿Cómo se eliminan esas claves?



saludos!

[msc hotline sat]

Sñi, no te lo he comentado, los que estan en cuarentena ya estan fuera de circulacion, arrancas en modo seguro y los eliminas de dicha carpeta, y en el mismo modo lanzas el HJT, marcas a la izquierda de las claves que te indique eliminar y las eliminas con FIX



Al haber posteado el HJT sin pedirtelo se suponía lo sabias manejar, es asi de fácil



saludos



ms, 21-1-2006