ayuda, que debería suprimir?

[gordito]

Aquí os dejo el log tras efectuar un analisis con el hijackthis: qué debería suprimir?



Logfile of HijackThis v1.99.1

Scan saved at 15:06:05, on 24/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Aware.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

[msc hotline sat]

Dinos el problema que tienes antes que nada, para saber donde mirar, y si no lo has hecho, recuerda:



https://foros.zonavirus.com/viewtopic.php?t=5148



saludos



ms, 24-2-2006

[gordito]

Buenas tardes a tod@s. Aquí os envío detalladamente el problema que estoy teniendo con ese troyano que me está volviendo loco. Hace un tiempo quise intalar el programa de descarga turbo torrent 1.0.7, uno de los que usaba para el intercambio de archivos y ahí empezaron los problemas. He pasado el spybot sin detectar nada extraño; el nod32 (1.1446 20060222) es el único que me reporta este mensaje: El archivo D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe está infectado con varias infecciones.

Cuando pincho en detalles, me dice que tengo estas infecciones:



D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe varias infecciones

D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe >>Nsis >>tt87.exe varias infecciones

D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe >>Nsis >>tt87.exe >>Nsis >> msidev.exe W32/VB.WH (Troyano).

W32/Adware.MediaBack aplication.

D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe >>Nsis >>tt87.exe >>Nsis >> mpegcore.dll W32/Adware.MediaBack aplication.

D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe >>Nsis >>tt87.exe >>Nsis >> devmsgr.exe W32/VB.WH

D:\System Volume Information\_restore{FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe >>Nsis >> ldrtt.exe W32/VB.ACI



Todas las entradas *.*.exe las he eliminado del registro, porque la entrada FA43C2E1-3128-4264-B003-8895344ED1F9}\RP53\A0030103.exe no la he encotrado...

He encontrado el el google algunos casos similares, pero no me aclaro de cómo se efectúa la desinfección. Todos los casos tienen que ver con el programa p2p turbo torrent 1.0.7

En la página alerta-antivirus.com encontré 1 posible solución que apliqué a mi problema, sin hallar solución, puesto que al iniciar windows en modo a prueba de fallos, no me detecta la amenaza; cuando inicio normalmente, al hacer un scanner de virus, el nod32 me lo detecta sin darme otra solución que "sin acciones" y "copiarlo en cuarentena". Tenéis alguna idea?

[msc hotline sat]

Pues acepte lo de copiarlos a cuarentena y tras reiniciar vea si los ha movido, como deberia ser para que ya no fueran utilizados en el reinicio. o solo copiados, y si es que aun permanecen donde estaban, diganoslo y abriremos referencia para que nos envie las muestras y las analizaremos



PERO DESHABILITE LA RESTAURACION DE SISTEMA PARA HACER EL ESCANEO Y "MOVER" LOS FICHEROS (por lo del system volume ionformation\restore)



saludos



ms, 25-2-2006

[gordito]

He realizado el análisis con el nod32 y he copiado el archivo a cuarentena. He deshabilitado la restauración del sistema y sigue encontrándome el virus. Lo peor es que no puedo acceder a D:\System Volume Information y ya no sé qué hacer... Me estoy desesperando mucho... Hay alguna manera de acceder a esta carpeta? Ni en modo a prueba de fallos he podido...Un saludo :(

[msc hotline sat]

Si tiene desactibada la restairacion de sistema, arrancando en modo seguro se puede acceder a dicha carpeta, pero como que nos dice que en modo seguro no se lo detecta ??? lo que procede es que nos envie los ficheros copiados a la carpeta de cuarentena a zonavirus@satinfo.es anexados a un mail en cuyo texto indique la referencia "REF RESTORE"

y, tras analizarlos, implememtaremos, si procede, su eliminacion en nuestras utilidades, de lo que se informará en el foro





Tras ello, baja y prueba nuestro ELISTARA, y nos comentas el resultado,. ademas de enviarnos las muestras que te pida, si lo hace (mira el resultado en C:\infosat.txt)





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 26-2-2006