tengo el disco duro lleno por culpa de un troyano....

homerr- · Mensaje por **homerr-** » 26 Feb 2006, 16:14

ola a todos,tengo el disco duro lleno...no me queda ningun giga...e desistalando bastantes cosas pero sigue igual...me han comentado que los mas seguro es que sea un troyano...me han dixo que hay bastante que se meten en el pc y ocupan casi toda la unidad "c"...he pasado el panda activescan y este es el resultado:

Incidencia Estado Elemento

Adware:adware/ieplus No desinfectado C:\WINDOWS\FONTS\font.dll

Adware:adware/webhancer No desinfectado C:\WINDOWS\webhdll.dll_tobedeleted

Adware:adware/dudu No desinfectado Registro de Windows

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[1].txt

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@belnk[1].txt

Spyware:Cookie/bravenetA No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@bravenet[1].txt

Spyware:Cookie/Barelylegal No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@c.fsx[1].txt

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@dist.belnk[2].txt

Spyware:Cookie/fe.lea.lycos No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@fe.lea.lycos[1].txt

Spyware:Cookie/go No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@go[1].txt

Spyware:Cookie/Maxserving No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@maxserving[1].txt

Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@serving-sys[1].txt

Spyware:Cookie/WinFixer No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@winfixer[2].txt

Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt

Spyware:Cookie/Xmts No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@xmts[1].txt

Hacktool:HackTool/EvID No desinfectado C:\Archivos de programa\Archivos comunes\Synacast\SynaLive\EvID4226Patch.exe

Adware:Adware/SaveNow No desinfectado C:\Archivos de programa\DAEMON Tools\SetupDTSB.exe

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@belnk[1].txt

Spyware:Cookie/GoStats No desinfectado C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@c2.gostats[2].txt

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@dist.belnk[2].txt

Spyware:Cookie/Toplist No desinfectado C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@toplist[1].txt

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[1].txt

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@belnk[1].txt

Spyware:Cookie/bravenetA No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@bravenet[1].txt

Spyware:Cookie/Barelylegal No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@c.fsx[1].txt

Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@dist.belnk[2].txt

Spyware:Cookie/fe.lea.lycos No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@fe.lea.lycos[1].txt

Spyware:Cookie/go No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@go[1].txt

Spyware:Cookie/Maxserving No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@maxserving[1].txt

Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@serving-sys[1].txt

Spyware:Cookie/WinFixer No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@winfixer[2].txt

Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt

Spyware:Cookie/Xmts No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@xmts[1].txt

le he pasado tb el hijackthis y este es el resultado...

Logfile of HijackThis v1.99.1

Scan saved at 16:04:50, on 26/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\mnmsrvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\feidian\service\NodeManagerService.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jucheck.exe

C:\Archivos de programa\feidian\service\UITray.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [UITray] C:\Archivos de programa\feidian\service\UITray.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NodeManagerService - Unknown owner - C:\Archivos de programa\feidian\service\NodeManagerService.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - (no file)

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - (no file)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\SYSTEM32\RadClock.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

porfavor decirme que tengo k hacer con este trojano..o q necesitais saber mas de mi pc para solucionarmelo please...espero respuestas lo mas pronto posible..chao!

Mensaje por **msc hotline sat** » 26 Feb 2006, 19:47

Arranca en modo seguro, deshabilita la restauracion de sistema y elimina las siguientes claves

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - (no file)

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - (no file)

Luego lanza el ELISTARA y si pide que envies muestras, hazlo

y comentanos el resultado, como respuesta de este Tema, gracias

saludos

ms, 26-2-2006

homerr- · Mensaje por **homerr-** » 26 Feb 2006, 20:24

si deshabilito la restauracion del sistema en k punto de restauracion lo pongo??

Mensaje por **msc hotline sat** » 26 Feb 2006, 20:52

Simplemente marca en la cruz de Deshabilitar Restauracion de sistema y acepta:

Boton derecho en MIPC -> Propiedades -> Restauracion -> ...

saludos

ms, 26-2-2006

homerr- · Mensaje por **homerr-** » 26 Feb 2006, 21:04

e hecho esto...

Boton derecho en MIPC -> Propiedades -> Restauracion -> y he desmarcado la casilla...y me pone " restaurar sistema a encontrado un error al intentar habilitar/deshabilitar una o mas unidades...reinicie su equipo y vuelva a intertarlo...e reiniciado y sigue poniendome lo mismo...y nose que hacer...

Mensaje por **msc hotline sat** » 26 Feb 2006, 21:09

No tienes que desmarcar, sino MARCAR la casilla de desactivacion !!!

y si ya está marcada dejala asi, y acepta

saludos

ms, 26-2-2006

homerr- · Mensaje por **homerr-** » 26 Feb 2006, 21:31

ya la e marcado...y se ha puesto a cargar el pc 4 o 5 minutillos...y ahora que hago?

Mensaje por **msc hotline sat** » 26 Feb 2006, 22:32

Pues hacer lo que se te ha dicho como respuesta al tema inicial !!!

ms.