AYUDA CON TROYANO (SOLUCIONADO)

[churre]

Hola me ha entrado un troyano o un spyware (no sé muy bien qué) en el explorer. Me intenta llevar a una página de inicio de un antivirus, diciendo que estoy infectado. La página es eprotectpage.com





Tengo el Panda Antivirus de empresas (que me lo detectó, pero no lo elimina totalmente). He instalado el Ad-aware y el Spybot, siguiendo las instrucciones de los tutoriales del foro, incluso los avazandos y nada, cada vez que reinicio el explorer me intenta meter en la página de inicio dicha antes.



Supongo que el Hijackthis es el siguiente paso, pero no tengo mucha idea, y me gustaria que me aconsejara alguien, y es el ordenata de la empresa.



Un saludo y gracias por vuestra ayuda

[churre]

Acabo de pasar otra vez el Spybot, por quinta vez. Siempre me aparece 3 entradas de un virus llamado PestTrap y una entrada de otro llamado Zlob.HomepageMonitor



Si le doy a reparar y a inmunizar, y me figura que ya esta inmunizado para esos virus, porque aparecen de nuevo?



A ver si alguien me ayuda. Un saludo de nuevo

[koga]

Pruebe con el Elistara:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Lo descarga, lo ejecuta y una vez terminado el proceso nos postea el contenido del archivo C:/Infosat.txt como respuesta a este tema para analizar los resultados del proceso,





Saludos.

[churre]

[quote="koga"]Pruebe con el Elistara:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Lo descarga, lo ejecuta y una vez terminado el proceso nos postea el contenido del archivo C:/Infosat.txt como respuesta a este tema para analizar los resultados del proceso,





Saludos.[/quote]



Thu Nov 16 09:25:52 2006

EliStartPage v12.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------



Thu Nov 16 09:25:52 2006

EliStartPage v12.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\PMSNGR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\PMMON.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\ISAMINI.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\ISADDON.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\IESPLUGIN.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\ISAMONITOR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\ISADDON.DLL --> Acceso Denegado.

Eliminada Class, "{AB340860-FD81-4A65-B345-82EB77A66B5E}" -> C:\WINDOWS\system32\jbtazy.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 16 09:43:57 2006

EliStartPage v12.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Farmatic\CCAA\SAS\RecetaXXI\SLEEPBAT.EXE --> Eliminado, PWS-WoW



Thu Nov 16 09:56:04 2006

EliStartPage v12.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\Perfect Codec\PMSNGR.EXE.VIR --> Eliminado.

C:\Archivos de programa\Perfect Codec\PMMON.EXE.VIR --> Eliminado.

C:\Archivos de programa\Perfect Codec\ISAMINI.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\PERFECT CODEC\ISADDON.DLL --> Eliminado

C:\Archivos de programa\Perfect Codec\ISAMONITOR.EXE.VIR --> Eliminado.

Eliminada Class, "{192C5B4A-3EFD-40C7-9F99-C472DEB8EFC0}" -> C:\Archivos de programa\Perfect Codec\isaddon.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[churre]

Bueno, se me ha quedado el ordenador limpito como una patena (creo). Al menos ya no intenta llevarme a es página.





Muchas gracias, por todo. Sólo una duda este programa que era? un antivirus, antispam u otro tipo de programa?



He pensado instalar estos programas en mi ordenador particular. Spybot, Ad-aware y este último. ¿Cual es mejor? ¿qué recomiendaríais para completar la protección?



Un saludo y muchas gracias, me has librado de una bronca de mi jefa :twisted: :oops:

[msc hotline sat]

Mira los informes y envia las muestras que te pedimos para poderlas conbtrolar con niuevas versiones de dichas utilidades.



Recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y estos programas no se intalan. Solo puedes probarlos bajanmdo la version del día cada vez que se te indique en el foro



A la recepcion de las muestras, procederemos.



En cuanto oinformemos en el foro de mieva version relativa a las mismas, pruebala para eliminar claves y restos al respecto



saludos



ms, 16-11-2006

[cryven]

buenas, a mi me pasa lo mismo, he detectado la carpeta donde esta, e intentado borrar los archivos, renombrarlos y hacerles de todo y nada, se vuelven a crear, en la carpeta estan estos archivos:

ISAMINI

ISAMONITOR

PMSNGR

PMMON

esos son los que cambio y luego vuelven a salir, y el unico que no me deja tocar se llama: ISADDON.DLL

He pasado el panda, el ad-aware y el spybot un millon de veces y me pasa lo mismo que al chico de antes, he probado con lo que le habeis dicho al chico ese de antes y no me aclaro, me lo podeis explicar??? Muchas gracias. SALUDOS!!!

[msc hotline sat]

Pues prueba el ELISTARA que si no te los elimina pedira miestras para su control y eliminacion:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Lo descarga, lo ejecuta y tras reiniciar, nos postea el contenido del archivo C:/Infosat.txt como respuesta a este tema para analizar los resultados del proceso,





son variantes del downloader PUPER !!!

[cryven]

bueno, ya esta, muchas gracias por todo, e pasado el elistar y todo fuera:D tengo otra pregunta mas, a ver si me podeis decir que son, cuando abro el administrador de tareas, estan en el usuario estas tareas abiertas:

WEBPROXY.exe

CTDETECT.exe

WZCSLDR2.exe

ApVxdWin.exe



no se lo que son lo pregunto para salir de dudas. si alguien me puede contestar... muchas gracias. saludos!!!!

[msc hotline sat]

El nombre de un fichero no implica su contenido y de hecho muchos virus emplean nombres de aplicaciones buenas parecidos, como es el caso del SVCHOST, tan usado como nombre de gusano



De todas formas se indica lo encontrado como normal en el Google, buscador que se recmienda usar al respecto...







WEBPROXY.exe : :POSIUNLE FICHERO DE PANDA : http://www.liutilities.com/products/wintaskspro/processlibrary/webproxy/



CTDETECT: POSIBLE DRIVER DE CREATIVE LABS : http://www.liutilities.com/products/wintaskspro/processlibrary/ctdetect/



WZCSLDR2.exe :POSIBLE DRIVER WIRELESS : http://www.liutilities.com/products/wintaskspro/processlibrary/wzcsldr2/



ApVxdWin.exe: PISIBLE ARCHIVO DE PANDA : http://www.liutilities.com/products/wintaskspro/processlibrary/apvxdwin/





saludos



ma, 30-11-3006

[cryven]

todo bien claro, de nuevo gracias por vuestra rapidez y exactitud en todo. gracias por todo!!!

[msc hotline sat]

Publicado: Lun Jul 03, 2006 8:40 am Título del mensaje: FRASES HECHAS



--------------------------------------------------------------------------------



para copiar y pegar donde proceda:



______________________________________

LOGS DEL HJT SIN INDICAR PROBLEMAS







Pero recuerde:



https://foros.zonavirus.com/viewtopic.php?f=13&t=5148





No nos envien logs del HJT sin indicar los problemas, gracias







______________________________________

FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)



______________________________________

FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.





______________________________________

SOLICITUD DE MUESTRAS





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte



____________________________________

ELIMINACION DE CLAVES CON HJT





Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:





______________________________________

SERVIDORES DNS UKRAINA





Tienes como servidores de DNS unos de UKRAINA considerados maliciosos:



DNS Server ukraina malicious: 85.255.116.164 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company 85.255.112.112 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





______________________________________

TEMA SOLUCIONADO



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-11-2006