Graves problemas con posible troyano, novato en el tema...

Rotek · Mensaje por **Rotek** » 26 Ene 2007, 23:52

En primer lugar hola a todos.

Os cuento el problema: Mi hermana se descargó el Ares, y comenzó a bajarse canciones en el emule. Justo ese día, se acabó el plazo, o algo así, de nuestro antivirus, el bitdefender. Después de eso, nos ocurrieron algunas cosas extrañas: de repente se nos cerraban todas las ventanas del msn, y aparecía un mensaje que nosotros no habíamos escrito. Al principio no nos dejaba entrar en ninguna web de información sobre virus ni de descarga de antivirus. Instalé de nuevo el bitdefender, y ahora no se nos cierran las ventanas de msn, pero seguimos sin poder descargar nada, y para entrar en los programas nos aparecen pantallas extrañas, y otras veces en panel de control nos aparece este mensaje: C:/WINDOWS/system32/rundll32/exe y no nos deja entrar en nada de configuración del sistema, como si el virus lo controlara...

Os rogamos que nos déis alguna explicación de ello o una posible solución. Porque nuestro antivirus parece que no puede eliminar el virus, que creo que es un troyano.

Saludos

Héctor

Nuker · Mensaje por **Nuker** » 27 Ene 2007, 01:09

Pruabete esta 2 herramientas en modo seguro. Te crearan un log en Unidad C, con nombre infoSat.txt, copia contenido y pegalo aqui.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

En caso, no te eliminara nada, envienos dicho fichero, el que le da como alerta. Se mete a MIPC/Disco Duro C/Windows/System32/rundll32/~~[b]~~exe[/b] (envia el que esta en negritas.

COMO ENVIAR ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 13:00

Hola, muchas gracias por la información, pero el problema parece que es mayor. El virus (...) no nos permite descargar ningun tipo de programa. Hemos probado con los dos que nos has adjuntado, pero nada...no sabemos que hacer ya.

Saludos

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 13:08

Nuevas noticias, el virus bloquea el acceso a ayuda y soporte tecnico, a informacion del sistema, a ejecutar, a quitar o agregar programas....sigue sin dejarnos descargar nada, y menos antivirus. Esto comienza a ser preocupante.

Espero respuestas.

Un saludo

Mensaje por **lucl** » 27 Ene 2007, 13:15

hola rotek, pues mira intenta bajarte desde otro pc alguna herramienta y trata de pasarlo!! de todos modos descargate el hijackthis y le das a "do scan system etc " y nos pegas el log que te genere. desde otro pc claro esta!!

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

aunque si puedes ir a otro pc coge el elistara y el elitriip lo primero y pasalo.

animo y suerte!

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 13:32

Hola, perdonen mi ignorancia, pero...:

"descargate el hijackthis y le das a "do scan system etc " y nos pegas el log que te genere. desde otro pc claro esta!! " ¿Qué quiere decir esto exactamente?

"intenta bajarte desde otro pc alguna herramienta y trata de pasarlo" ¿Quiere decir que me descargue un antivirus desde otro pc, lo grabe en un cd y lo pase al mio?

Perdonan las molestias por tantas preguntas, pero es que soy completamente nuevo en esto.

Saludos.

Mensaje por **lucl** » 27 Ene 2007, 13:46

HOla, mira , es que como en vuestro pc no podeis descargaros nada, que vayas a otro pc de otra persona, ciber o lo que sea y te descargues los programas para poder usarlos en tu pc. si te los pudieras bajar podrias luego usarlos en vuestro ordenador sin necesidad de descargarlo directamente dado que no podeis. las herramientas me refiero al elistara, elitriip y el hijackthis que encontraras en este foro en la zona de descargas.

y lo del hijackthis es que lo pases en tu pc y nos peges el resultado que te dara, perdona si no me explique bien. saludos.

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 18:13

Bien, noticias:

He ido a casa de mi tio y me he descargado las herramientas que me habeis dicho. Con el elistara he analizado y me ha visto un Spam-mailbot o algo asi. Y ahora que hago? Como se usa el hijackthis? donde encuentro el log?

Saludos

Mensaje por **lucl** » 27 Ene 2007, 19:53

Hola, te bajaste el elitriip? pasalo, y el hijackthis solo tines que ejecutarlo en tu pc y darle a la pestaña que pone "do a sistem scan... etc" luego sin tocar nada nos pegas el log que te genera. saludos

Nuker · Mensaje por **Nuker** » 27 Ene 2007, 20:07

Ejecutalas de nuevo en modo seguro (excepto HijackThis). El HijackThis en modo Normal. Y si no te dejara descargarlas desde modo normal prueba en modo seguro con funciones de red. Vuelve a pasar ELISTARA y ELITRIIP, pero esta vez en modo seguro. Nos pegas el log generado.

MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 20:44

Hola, el problema es que reinicio, pulso F8, pero no me sale nada de modo seguro, solo una pantalla en ingles. ¿Como pego el log? ¿Donde lo encuentro? Al pasar el elistara me salia que tenia un Spam-mailbot, o algo así, ¿Es posible? otra cosa, no puedo entrar en informacion del sistema ni en algunas partes del panel de control, me sale siempre esto: C:/Windows/System32/rundll32.exe No se ha encontrado la aplicacion

Hay solucion??

Saludos

Mensaje por **lucl** » 27 Ene 2007, 21:40

Hola rotek , a ver por partes mira te copio algo, lee atentamente y trata de encender de ese modo el pc para el modo seguro,

ANEXO AL POST ANTERIOR, PARA CUANDO NO SE CONSIGUE CON ELLO ARRANCAR EN MODO SEGURO

~~[b]~~En los casos rebeldes, puede procederse a provocar el arranque en modo seguro a través de software, configurando debidamente los ficheros de inicio, a saber:

Windows XP

Cierre todos los programas.

Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".

Pulse en la lengüeta "BOOT.INI".

En "Opciones de inicio", marque la casilla "/SAFEBOOT"

Pulse en el botón [ Aceptar ], y en el mensaje siguiente confirme reiniciar el ordenador.

Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora. [/b]

por otro lado, lo del ellistara lo tienes en c,

inicio---mi pc----c------infosat, entra y con el cursor del raton lo seleccionas , boton derecho y copiar, luego lo pegas en la respuesta, pon todo lo que te copio ok?

y si consigues entrar en modo seguro pasa el elitriip y el elistara de nuevo, y nos copias todo el contenido del log que tendras en c infosat, suerte y nos cuentas tus progresos. saludos.

Rotek · Mensaje por **Rotek** » 27 Ene 2007, 23:35

A ver, os cuento:

-He probado el arranque a modo seguro que me has indicado, cierro los programas, le doy a inicio, ejecutar, pongo MSCONFIG, le doy a enter y me sale una pantalla de " eliga un progrma para ejecutar (...) aconsejados...no se que...total, que nada.

-Lo de ellistara: me meto en inicio, mi PC, c, pero no veo infosat por ningun lado.

¿Puede ser que este estropeado algo y por eso no me deja abrir los programas de manera habitual o descargarme programas?

Saludos

Mensaje por **lucl** » 28 Ene 2007, 10:13

Es raro, a ver si tienes el elitriip y el elistara pasalos de momento en modo normal y copianos el log que te generara en c. A ver si por ahi podemos seguir. saludos.

Rotek · Mensaje por **Rotek** » 28 Ene 2007, 13:45

Os pido disculpas a todos si os estoy haciendo perder el tiempo...pero es que soy novato total en el tema, y soy muy joven. Ya he pasado el elistara, me meto en mi pc, en c, pero ¿Donde encuentro infosat?? no lo veo por ningun lado....:(

Saludos

Mensaje por **msc hotline sat** » 28 Ene 2007, 13:54

Nuestras utilidades solo crean o añaden informacion en c:\infosat.txt si en el proceso detectan algo de lo que hay que informar.

Si no has detectado nada, no habrá creado el informe...

En tal caso posteanos el log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 28-01-2007

Rotek · Mensaje por **Rotek** » 28 Ene 2007, 14:38

A ver, por pasos: el elitrip no me detecta nada, al elistara le doy y me sale:

-"No ha sido posible crear WIN.TMP"

- " " SYSTEM.TMP"

-¿Limpiar HOSTS?

- ¿Eliminar pagina de inico (...) eliminar ficheros temporales de internet...? y asi unas cuantas, despues comienza a analizar, y descubre siempre dos ficheros infectados:

-NEAMR.DLL -> CyDoor

-MIGRATE.DLL->RXbar

Y cuendo termina pone: " Detectada posible infeccion del Spam-mailbot. Por favor, Reinicie el Sistema en "MODO SEGURO" y Ejecute la Aplicacion Para Completar la Eliminacion.

¿Que quiere decir esto??

Despues, he copiado el Hijackthis en una carpeta, le doy a ejecutar y me sale: "No se puede ejecutar "C:/DOCUME 1\USUARIO\CONFIG 1\Temp\Rar$EX00.672\HijackThis.exe"

¿Qué puedo hacer?

Saludos

Mensaje por **msc hotline sat** » 28 Ene 2007, 20:30

rEINICIA Y POSTEANOS EL CONTENIDO DE c:\INFOSAT.TXT, como decimos que se haga siempre tras probar el ELISTARA...

Parece que tebias troyanos y se han eliminado, pero veamos lo que indica el informe...

saludos

ms, 28-01-2007