loader[1].exe;drsmartload.exe;ddi.exe;drs.exe (SOLUCIONADO)

[ahi]

hola de nuevo, otra vez necesito vuestra ayuda :oops: resulta q esta mañana el antivirus me ha detectadoun troyano llamado loader[1].exe en no se cual carpeta le doy para q lo elimine y m dice q esta siendo usado por otro proceso. veo los procesos y efectivamente habia un proceso con su mismo icono lo intento parar (el proceso) me sale q no responde le doy a acabar ahora y no acaba y asi varias veces y el proceso q no responde y no se termina. pero hay no acaba la cosa por q luego m apareceen el disco duro (segun abrirlo) unos programas llamados drsmartload.exe y ddi.exe (con el mismo icono) y uno en C:WINDOWS con el nombre de drs.exe . los intento eliminar a mano y me elimina todos menos el loader[1].exe. pero los archivos vuelven a aparecer. he pasado el elistara y me los elimina paro vuelven a aparecer. pero hay no acaba la cosa. si los elimino deshabilitando la opcion restaurar sistema no aparecen pero con la opcion habilitada aparecen....Ha! tambien me aparecen mensajes asi:



runtime error: "x"

invalid "xxxxxxxxxxxxxxxxx"

(las "x" son numeros o palabras q cambian)



bueno espero vuestra ayuda :roll:

[ahi]

para aclarar. Con el elistara me elimina todos incluyendo el loader[1].exe

[admin]

Y [b][url=http://wiki.zonavirus.com/index.php/Arrancar_en_modo_seguro_con_Windows_XP]arrancando en modo seguro[/url][/b], deberia poder eliminarlo...

[ahi]

voy a intentarlo

[ahi]

he intentado reiniciar en modo a prueba de errores y borrarlos pero vuelven a aparecery eso q he tenido q buscar carpeta por carpeta en el disco duro por q hay algunos q no m localiza el antivirus. los he quitadoy cuando he vuelto al modo normal ya volvian a estar. yo creo q es por culpa del restaurar sistema por q si los elimino si esta opcion habilitada no aparecen. apa4recen segun m conecto a internet

[novatillo]

Postea el contenido de C:/infosat.txt que crea elistara a ver que nos dice.







Saludos.

[ahi]

Wed Aug 09 23:17:54 2006

EliStartPage v12.19 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\RunServices] "Win32"="msnsrv.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 09 23:19:08 2006

EliStartPage v12.19 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\I1KUD567\LOADER[1].EXE --> Eliminado, DollarRevenue (dldr)





hay q decir q sin embargo en C: aparecen mas archivos q nunca son eliminados por antivirus y q se agregan automaticamente al administrador de tareas de windows como: ddi.exe winde.exe drs.exe...etc y q tienen los mismos iconos q el loader [1].exe

[novatillo]

Bueno desactiva restaurar sistema arranca en modo seguro y lanza elistara pero no el que tu tienes(es un version antigua)prueba con este



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



Posteas el contenido de C:/infosat.txt y nos comentas el resultado.





Saludos.

[maura63]

Y descarga HIJACKTHIS y nos posteas el log que genera.



Nos haremos una idea de tu equipo.



Saludos

maura63

[ahi]

ahi va el de elistara. parece ser q no era culpa de restaurar sistema. es segun m conecto a internet



Thu Aug 10 22:25:04 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\RunServices] "Win32"="msnsrv.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Aug 10 22:26:20 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\G80JKCM5\LOADER[1].EXE --> Eliminado, DollarRevenue (dldr)

[ahi]

hay va el de hijackthis







Logfile of HijackThis v1.99.1

Scan saved at 22:57:25, on 10/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\smsc.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe

C:\Archivos de programa\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Linkin Park\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\eMule0.45b-pHoeniX\emule.exe -AutoStart

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE3D3E8-5612-426E-B3B3-9CA6C659067E}: NameServer = 80.58.61.250 80.58.61.254

O20 - Winlogon Notify: SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Window Kernel Memory - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)

[ahi]

acabo de abrir:



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\



y algunas carpetas de dentro y aparecen archivos de paginas web con el nombre de esos virus ¿puedo eliminar todo lo q contienen esas carpetas sin tener ningun problema?? es q m parece q estaban vacias.

[novatillo]

Lo primero que debes hacer es lanzar un windowsupdate y actualizar el SP2 y todos los parches de seguridad si no tendremos siempre el mismo problema (si no actualizas eres un coladero de virus spyware etc. etc.)





Saludos.

[ahi]

tengo windows xp home service pack 1 pero no lo quiero actualizar al service pack 2 porke dice q no deja ejecutar mas de 10 conexiones a la vez y no podria utilizar el emule. alguien sabe si eso pasa de verdad?????

[ahi]

ha pasado algo raro...todos los virus han desaparecido y no han vuelto a aparecer.buen pero tengo q quitar las cosas d esa carpeta q encontre o q?????????????'

[msc hotline sat]

Veras, el ultimo informe del ELISTARA era que detectaba y eliminaba el DollarRevenue,. conocido downloader que podía descargarte mas y mas troyanos


[quote]
Thu Aug 10 22:26:20 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\G80JKCM5\LOADER[1].EXE --> Eliminado, DollarRevenue (dldr)
[/quote]

Si una vez eliminado ya no te sucede, es que has conseguido eliminar la fuente



efectivamente se instala como BHO (Browse Helper Object) y se ejecuta cada vez que se abre el I.E.



Informanos sobre si ya no se ha vuelto a reproducir para proceder a considerar solucionado el tema



saludos



ms, 18-8-2006

[ahi]

no se ha vuelto a producir... se puede considerar solucionado

[msc hotline sat]

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 22-8-2006