Troyano Trojan.Proxy.Horst.AN (SOLUCIONADO)

[Rema]

Desde hace unas fechas tengo problema en el ordenador.

Se relentiza, se reinicia, deja de leerme algunas unidades, y no se cuantas cosas más.

Mi equipo esta protegido con BItDefender y cada vez que le paso el antivurus me detecta el troyano, bien con la extencion .An o Av. Se encuentra alogado en la carpeta Fichero c:\recycler\s-1-5-21-515967899-1708537768-854245398-1003\dc33.exe

infectado con Trojan.Downloader.Agent.AIJ, o Fichero c:\docume~1\sther\config~1\temp\3exmodul32s.4.exe

infectado con Trojan.Proxy.Horst.AV.

Ya no se que solucion darle



Gracias

[msc hotline sat]

Simplermente arranca en modo seguro, desactiva la restauracion de sistema y lanza tu antivirus, que asi debe poder eliminarlo:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



saludos



ms, 23-8-2006

[msc hotline sat]

En privado, el autor del Tema envió


[quote]De: Rema

Para: msc hotline sat

Publicado: Mie Ago 23, 2006 10:46 pm

Asunto: Troyano Trojan.Proxy.Horst.AN

Ante todo darle las gracias.

He de comentarle que me ha sido del todo imposible eliminar el Trojan. En primer lugar al iniciar el WinXP en modo seguro no he podido arrancar el bitdefender. Por lo tanto sigue detectandomelo y eliminandomelo, pero no lo desinfecta, lo elimina y vuelve ha salir.

Mensaje: La desinfeccion ha fallado

Eliminado.

En la papelera de recicaje no dejo que se almacene nada.

En fin todo sigue igual. Es desesperante. Tengo trabajo de programacion que realizar y ya no se que hacer. No me seduce la idea de tener que formatear.



Saludos y le reitero las gracias
[/quote]



LOS PRIVADOS NO SON PARA CONSULTAS TECNICAS !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=528



Estas deben ser posteadas en el foro para aprovechamiento de todos



saludos



ms.



LUEGO LO CONTESTO

[msc hotline sat]

Cualquier antivirus ha de funcionar en modo seguro !!!



Entra en MIPC, boton derecho sobre unidad C: y alli tienes para escanear ..



Pruebalo



saludos



ms,.24-8-2006



Nota: Y C:\Recycler es donde está la papelera pero no es la papelera.... Esta es una class y lo que se envia a la papelera es procesado especialmente. Copia un fichero en dicha carpeta y no estará en papelera !

[BenriL]

Wenas.



Me pasa el mismo caso que a Rema:



- Deshabilito la restauracion.

- Entro en modo seguro con mi Windows XP

- Trato de iniciar el antivirus (Bitdefender 9), pero no se ejecuta. Entro en Mi PC, boton derecho sobre unidad C: selecciono Bitdefender y nada, no se inicia.



Lo peor de todo es que este troyano me hizo desistalar el Norton, por que se habia vuelto muy inestable por culpa del virus, ni siquiera me dejaba activar el autoprotect.



No me gustaria, tener que formatear :(

[msc hotline sat]

Pues prueba este AV ONLINE, arrancando en modo seguro con funciones de red :





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





saludos





ms, 24-8-2006



Nota: Posiblemente el antivirus haya quedado modificado. Recomiendo desinstalarlo y volverlo a instalar para que pueda fincionar en modo seguro, como todos

[Rema]

Saludos:

He desistalado el BitDefender y he instalado NOD32 Scaner.

Una vez iautualizado dicho programa he analizado launidad, no ha detectado ningun virus.

Al iniciar el analicis ha encontrado en la unidad C:\hiberfil.sys - Error abriendo archivo (El archivo esta bloqueado)[4]

C:\pagefile.sys - Error abriendo archivo (El archivo esta bloqueado)[4].

C:\Documents and Settings\rafael\Configuración local\Archivos temporales de Internet\Content.IE5\GO2ADEL3\M3v5_62[1].zip »ZIP »M3v5_62.dsp - Archivo comprimido dañado

C:\Satelite\Programas\Vectras\vectra_366.1.zip »ZIP »vectra_366.1.dsp - Archivo comprimido dañado.

En un segundo analicis desde Modo seguro y como me comentastes. solo detecto C:\pagefile.sys - Error abriendo archivo (El archivo esta bloqueado)[4].

Por el comportamiento que esta teniendo la unidad creo que esta limpia.

De todas formas seguire haciendo pruebas.



saludos

[msc hotline sat]

Parece que sí que está limpio, pero restaura este fichero si lo quieres tener o eliminalo, pues está corrupto: C:\Satelite\Programas\Vectras\vectra_366.1.zip



Y lanza un ELITEMPO para eliminar temporales:



ELITEMPO

http://www.zonavirus.com/descargas/EliTempo.asp



y los ficheros protegidos indicados son del sistema, dejalos.



Cuentanos si tras reiniciar todo va bien, para poder dar por solucionado el Tema



saludos



ms, 25-8-2006

[Rema]

Saludos

No he podido contactar antes ya que la ADSL no la tenía operativa.

Os comento he desinstalado el NOD32 Scaner, y he vuelto ha instalar BitDefender 9 Internet Security, para quedarme más tranquilo. Sorpresa vuelvo ha tener el troyano Fichero c:\docume~1\rafael\config~1\temp\92exhdd.3.exe

infectado con Trojan.Proxy.Horst.AE. Ya he borrado los ficheros que estaban dañados. El siguiente paso que voy ha realizar es arrancar en modo seguro he intentar pasar el BitDefender, en dicha carpeta.



Os tendre informado.



Saludos.

[msc hotline sat]

Dinos con qué detectas ahora este troyano ??? u poosteanos un log actualizado del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Lo analizaremos e informaremos del resultado,



saludos



ms. 29-8-2006

[Rema]

Saludos:

Como me habéis pedido he instalado la aplicación Logfile of HijackThis v1.99.1. El resultado obtenido es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 20:02:21, on 29/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe

C:\archivos de programa\softwin\bitdefender9\bdnagent.exe

C:\archivos de programa\softwin\bitdefender9\bdswitch.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\D-Link AirPlus\AirPlus.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [McAfee Guardian] "C:\Archivos de programa\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [BDOESRV] "C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "C:\Archivos de programa\Softwin\BitDefender9\bdnagent.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Archivos de programa\Softwin\BitDefender9\bdswitch.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe".



Os comento ayer antes de apagar el equipo pase de nuevo el BITDEFENDER y no me detecto el virus. Hoy una vez conectado el antivirus no detecto nada. Al conectarme a Internet inmediatamente me salto la alarma. Nuevamente apareció el troyano.



C:\Documents and Settings\rafael\Configuración local\Temp\96exhdd.3.exe Infectado con Trojan.Proxy.Horst.AE

C:\Documents and Settings\rafael\Configuración local\Temp\96exhdd.3.exe La desinfección ha fallado

C:\Documents and Settings\rafael\Configuración local\Temp\96exhdd.3.exe Eliminados



Espero que entre todos consigamos eliminarlo.





Saludos

[msc hotline sat]

Sí, debes eliminar estas claves:



O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w







Pero has posteado muy pocos grupos del HJT !, Estas seguro que esto es todo ???. No tienes mas allá del O4 ???



Pues esto es lo que hay al respecto





saludos



ms, 29-8-2006

[Rema]

:lol:

Saludos cordiales.



He seguido los pasos que me habéis indicado.

He eliminado las claves:



O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w



A continuación he realizado las siguientes verificaciones:

1 He reiniciado el Ordenado.

2 Me he conectado a Internet, No se ha detectado ningún virus

3.Análisis completo de la Unidad. No se ha detectado ningún Virus, ni archivos infectados.

4.He apagado completamente todo el sistema.

5. Encendido del sistema

6.Conexión de nuevo a Internet. No se ha detectado ningún Virus, ni archivos infectados.

7. Análisis completo de la Unidad. No se ha detectado ningún Virus, ni archivos infectados.

8. Análisis de la carpeta C:\Documents and Settings\rafael. No se ha detectado ningún Virus, ni archivos infectados.

9. Actualización del antivirus.

10. Nuevo análisis del sistema. No se ha detectado ningún Virus, ni archivos infectados.



Creo que se ha conseguido cazarlo. Muchas gracias, les tendre informado.

[msc hotline sat]

Ah bueno !





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-8-2006