¡Ayuda, troyanos en acción!

SoyElRiChO · Mensaje por **SoyElRiChO** » 22 Feb 2007, 20:37

En primer lugar, hola a todos, haceis una buena labor ayudando a la gente, desde ahora participaré por aqui tanto intentando resolver (lo dudo porque aun no sé mucho de esto) y de buen rollo!

Soy nuevo por aqui y ha surgido un problemilla en mi PC. El caso es que hace unas semanas comenzaron a aparecer pop ups con pornografia mientras navegaba por la red. El antivirus detectó un troyano y ante la imposibilidad por mi parte de eliminarlo del sistema realicé una recuperación del sistema con la que consegui quitar las malditas ventanas emergentes con contenidos.... :roll: . Mi problema es que actualmente he estado estos dias sin antivirus y he notado un problemilla con el sistema de ventanas o de la conexión: Firefox no funciona y Internet Explorer no accede a muchas paginas :?: y al abrir una nueva ventana de internet, la misma se queda bloqueda (no se puede ni siquiera cerrar, minimizar.....) durante un periodo de tiempo. Lo que mas me asustó, es que ahora que me he bajado el antivirus (AVG Free) me detecta numerosos virus y archivos infectados, para que os hagais una idea:

[img]http://img238.imageshack.us/img238/3203/diosssig8.gif[/img]

A ver si alguien me puede indicar qué es exactamente lo que le pasa al PC o que debo hacer para solucionarlo...., se lo agradeceria mucho :wink: El problema es que no me cargan páginas de vital importancia que debo visitar, tampoco el msn, tampoco hotmail,......

Perdonad las molestias

Saludos, gracias :wink:

[color=red]EDIT: Perdonad el tamaño de la imagen, ahora lo pongo + grande...[/color]

Mensaje por **msc hotline sat** » 22 Feb 2007, 20:47

Con el firefox no le podremos ayudar por no ser el standar, pero si el problema lo tiene tambien con el navegador de microsoft, pruebe el ELISTARA y si lo resuelve, mire si para el firefox por casualidad tambien, y si el I.E. persiste el problema, entonces seguiremos con el log del HJT, si bien ello es inutil para el firefox pues no visualiza las claves que le afectan

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-02-2007

SoyElRiChO · Mensaje por **SoyElRiChO** » 22 Feb 2007, 21:29

Oye, muchisimas gracias por todo :lol: Menuda efectividad, así da gusto :wink:

Ya he instalado el ELISTARA (un gran programa por lo que veo) y parece que a eliminado alguno de esos malditos troyanos. El sistema de ventanas del Explorer se ha arreglado aunque el Firefox y el msn siguen si funcionar (con el msn parece que hay un problema con los puertos clave). Bueno, aqui tienes el contenido del archivo que me havias pedido:

Wed Feb 21 19:55:27 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM\HPSYSDRV.EXE --> Eliminado DownLoader

C:\HP\KBD\KBD.EXE --> Eliminado DownLoader

C:\WINDOWS\SMINST\RECGUARD.EXE --> Eliminado DownLoader

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\URLLSTCK.EXE --> Eliminado DownLoader

C:\WINDOWS\SYSTEM32\PS2.EXE --> Eliminado DownLoader

C:\HP\DRIVERS\HPLSBWATCHER\LSBURNWATCHER.EXE --> Eliminado DownLoader

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v13.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

C:\PROGRAM FILES\BRAVESENTRY\BRAVESENTRY.EXE --> Eliminado BraveSentry (antispy)

C:\Documents and Settings\Compaq_Propietario\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "HPSYSDRV"="c:\windows\system\hpsysdrv.exe"

Entrada Eliminada [HKLM\...\Run] "KBD"="C:\HP\KBD\KBD.EXE"

Entrada Eliminada [HKLM\...\Run] "RECGUARD"="C:\WINDOWS\SMINST\RECGUARD.EXE"

Entrada Eliminada [HKLM\...\Run] "URLLSTCK.EXE"="c:\Archivos de programa\Norton Internet Security\UrlLstCk.exe"

Entrada Eliminada [HKLM\...\Run] "PS2"="C:\WINDOWS\system32\ps2.exe"

Entrada Eliminada [HKLM\...\Run] "LSBWATCHER"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 ad.doubleclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 ad.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 ads.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 ar.atwola.com

Linea Eliminada del HOSTS --> 127.0.0.1 atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.ch

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.ru

Linea Eliminada del HOSTS --> 127.0.0.1 awaps.net

Linea Eliminada del HOSTS --> 127.0.0.1 banner.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 banners.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 ca. com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 cert.org

Linea Eliminada del HOSTS --> 127.0.0.1 clamav.net

Linea Eliminada del HOSTS --> 127.0.0.1 click.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 clicks.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 dl1.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl2.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl3.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl4.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl5.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl6.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl7.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl8.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 dl9.avgate.net

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 engine.awaps.net

Linea Eliminada del HOSTS --> 127.0.0.1 f-prot.com

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 free-av.com

Linea Eliminada del HOSTS --> 127.0.0.1 free.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 ftp.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 ftp.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 ftp:/ /downloads1.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 ftp:/ /ftp.avp.ch/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 ftp:/ /ftp.kasperskylab.ru/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 ftp:/ /updates3.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 go.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 housecall.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /downloads1.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /updates1.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /updates2.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /updates3.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /updates4.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /updates5.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /www.kaspersky-labs.com/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 http:/ /www.kaspersky.ru/updates/

Linea Eliminada del HOSTS --> 127.0.0.1 ids.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 media.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 msdn.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 office.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 phx.corporate-ir.net

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 sarc.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 service1.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 spd.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 vil.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.ru

Linea Eliminada del HOSTS --> 127.0.0.1 virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.ch

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.ru

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.awaps.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.cert.org

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clamav.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-prot.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.fastclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.free-av.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.ru

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sarc.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.ru

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 www3.ca.com

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%ProgMenuInicio%\WinAntiVirus Pro 2006"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 20:00:07 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Archivos comunes\Sonic Shared\AUDIOPLAYER.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCAPP.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Ares\ARES.EXE --> Eliminado, DownLoader

C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto

C:\Archivos de programa\Common Files\Companion Wizard\WAPCHK.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Common Files\Companion Wizard\WAPCHK{38B71B26-B6F2-4268-9D72-8E6BDA858B4C}.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Common Files\Companion Wizard\WAPCHK{EF1B2D4F-F97F-4CD7-9151-0283DC7D9556}.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\HPOTDD01.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\HPGS2WND.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWUSCHD.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Hp\hpcoretech\HPCMPMGR.EXE --> Eliminado, DownLoader

C:\Archivos de programa\iTunes\ITUNESHELPER.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE --> Eliminado, DownLoader

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\ONO\Centinela ONO\NETCONNECTIONMONITORR.EXE --> Eliminado, Give4Free (BHO)

C:\Documents and Settings\Compaq_Propietario\Escritorio\Victor\BITCOMET_0.72_SETUP.EXE --> Eliminado, Beginto

C:\RECYCLER\S-1-5-21-3771223852-1117002572-1667331268-1008\Dc109\FXCORE.DLL --> Eliminado, ErrorSafe

C:\WINDOWS\CREATOR\REMIND_XP.EXE --> Eliminado, DownLoader

C:\WINDOWS\pchealth\helpctr\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\plugin\UPLOADHSC.DLL --> Eliminado, DollarRevenue (dldr)

C:\WINDOWS\system32\LSASSS.EXE --> Eliminado, DownLoader

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZTSB09.EXE --> Eliminado, DownLoader

Wed Feb 21 20:26:59 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "\Program Files\BraveSentry"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Como ves parece haver corregido algunos errores pero persistend otros muchos...

Muchisimas gracias por todo, estas ayudando a mucha gente :wink:

Saludos a todos :wink:

Mensaje por **lucl** » 22 Feb 2007, 21:34

te faltan parches, pero no te ofendas si te digo vaya pedazo de zoo que tenias jeje, envianos muestra de este

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v13.39

a "virus@satinfo.es". Gracias.

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

cuando lo analicen te diran si es virico o que, saludos

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 21:49

Los parches indicados por mi compañera desde aqui los obtienes:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

SoyElRiChO · Mensaje por **SoyElRiChO** » 23 Feb 2007, 21:50

ok, muchas gracias, aunque parece que la página detecta un problema al descargar las actualizaciones.

En cuanto a lo de enviaros el fichero de las muestras no me va hotmail, ¿como os lo envio? ¿se puede por un mensaje privado a través de este mismo foro?

Saludos, gracias por todo :wink:

Mensaje por **msc hotline sat** » 23 Feb 2007, 22:11

No, las muestras han de ser por mail, desde donde puedas, de casa de un amigo si quieres, pero siguiendo las indicaciones:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 23-02-2007

SoyElRiChO · Mensaje por **SoyElRiChO** » 23 Feb 2007, 22:22

ok, muchas gracias por la aclaración :wink: Cuando pueda las recivireis :)

Mensaje por **msc hotline sat** » 24 Feb 2007, 12:55

Pues si nos las envias este fin de semana , el lunes cuando entremos a trabajar en SATINFO las analizaremos e informaremos

saludos

ms, 24-02-2007