Problemas con Troyan Explorer (SOLUCIONADO)

[tanganilla]

Tengo instalado el Troyan Explorer y mi sistema operativo es Windows XP.



Cuando inicio Windows en una cuenta de "Administrador del equipo", el Troyan Explorer me indica que el sistema está limpio. Pero si utilizo una cuenta limitada me indica que mi PC esta infectado por los siguientes virus: IrcGen y KhGen. Además, si dicha cuenta limitada la cambio a modo administrador el Troyan Explorer me vuelve a indicar que el sistema esta limpio, pero me vuelve a indicar que esta infectado al volver a cambiar dicha cuenta la modo limitado. Lo peor es que dichos virus no son detectados por Kaspersky, McAfee ni Panda, ni tampoco por el Ad-Aware. Ademas, los archivos que me indica como infectados no existen, o no se encuentran en la ubicación que me indica.



Agradecería cualquier respuesta.



Un saludo y muchas gracias.

[msc hotline sat]

Lo mas probable es que los oculte un rootkit creado por el mismo malware, lo cual está de moda



Descargue el ELISTARA y el ELINOITIF en una misma carpeta, y arrancando en modo seguro lance el ELISTARA y tras reiniciar, posteenos el contenido del C:\infosat.txt





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



saludos



ms, 28-5-2006

[tanganilla]

Ya he descargado el ELISTARA y el ELINOITIF y lo he ejecutado en modo seguro, pero no ha encontrado ningun archivo infectado. De todas formas esto es lo que pone en C:\infosat.txt





Sun May 28 12:00:06 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun May 28 12:04:43 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\JOSE MARIA LEON\Mis documentos\DVD Decrypter\SETUPDVDDECRYPTER_3.1.9.0.EXE --> AutoExtraible

C:\Documents and Settings\JOSE MARIA LEON\Mis documentos\Mis archivos recibidos\BITLORD_1.01.EXE --> AutoExtraible

C:\Documents and Settings\JOSE MARIA LEON\Mis documentos\Mis archivos recibidos\Antivirus\Norton\NV11ESD.EXE --> AutoExtraible

C:\kav\personal\spanish\KAV5.0.388_PERSONALES.EXE --> AutoExtraible





Espero que esto les sirva de ayuda para darme una solución.



Muchas gracias.

[msc hotline sat]

Tras ello, puede postearnos el log del HJT, del siguiente modo:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]







y le indicaremos claves a eliminar



saludos



ms, 28-5-2006

[tanganilla]

Hola de nuevo. Tras seguir las indicaciones esto es lo que aparece en Bloc de Notas:







Logfile of HijackThis v1.99.1

Scan saved at 21:29:36, on 29/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\MATLABR11\webserver\bin\matlabserver.exe

C:\WINDOWS\system32\niSvcLoc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe

C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Archivos de programa\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Monitor de estado.lnk = C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: RaConfig2500.lnk = C:\Archivos de programa\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: FireDaemon Service: ecure (ecure) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLABR11\webserver\bin\matlabserver.exe

O23 - Service: NILM License manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\Shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: FireDaemon Service: svchost1 (svchost1) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)

O23 - Service: FireDaemon Service: system (system) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe





Espero su respuesta.



Un saludo y muchas gracias.

[msc hotline sat]

Arranca en modo seguro, kanza el HJT, marca la casilla de la izquierda de las tres claves siguientes y eliminalas con FIX CHECKED

a eliminar;



O23 - Service: FireDaemon Service: ecure (ecure) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)



O23 - Service: FireDaemon Service: svchost1 (svchost1) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)



O23 - Service: FireDaemon Service: system (system) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)







dudosas: (solo eliminar si no las conoces y si persiste el problema tras eliminar las anteriores)



O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE



O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll



O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe







Y, tras reiniciar, nos comentas el resultado, gracias



saludos



ms 30-5-2006

[tanganilla]

¡¡¡Por fin!!! :o :o :o :o :o :o



Tras varios intentos conseguí eliminar las claves indicadas.



:wink: Muchisimas gracias por todo. Cuando tenga cualquier otro problema (espero que sea dentro de mucho tiempo) no dudaré en acudir a este foro.



Una ultima pregunta:



¿Que antivirus me recomiendan, Kaspersky, McAfee u otro?



Saludos y mil gracias.

[maura63]

Desde la aparicion del famoso OPASERVER, cambiamos a McAfee y hasta hoy sin problemas. Tanto a nivel personal como profesional.



La web y el equipo habitual lo utilizan.



Tambien se debe tener instalado anti-spy, aunque el propio McAfee lo tiene.



Como complemento Ad_aware y Spybot.



Damos por terminado el tema y cerramos.



Saludos

maura63

[msc hotline sat]

Nota final: Em algunas versiones el antispuyware de McAfee es opcional, constate que la que adquiera lo integre y sino añada el modulo en cuestion



y nos complace que haya solucionado el problema satisfactoriamente



saludos



ms, 31-5-2006



nota a Maura63: Se te olvidó cerrarlo :lol: Ya lo hago yo. ms.