TROAYNOSSSSSSSSSSSSS (SOLUCIONADO)

[ANGELES78]

[b]HOLAA A TODOS...LES CUENTO A VER SI ALGUIEN PUEDE AYUDARME:



MI ANTIVIRUS ELIMINO"" A 2 TROYANOS:

Trj/ Agent.CDG C:Window/system32/usb496.dat

Trj/ Downloader.MDW C:Window/system32/mmrtkrnl.exe



(curiosamente hace un tiempo,cuando arranca Window, me aparecia un cartelito, con un error...algo que no podia cargar o algo asi USB496.dat...



estube mirando que a todos le dicen que bajen un programita, Elistara, pues, lo baje, dessactive la restauracion,apague y volvi a encender a modo de fallos y ejecute el elistara...

yo es que no entiendo mucho, pero como que este programa me ha detectado o eliminado otros dos virus..ahora les pego el resultado..

mi pregunta es....se termino mi problema? tengo que hacer otra cosa mas? ha unas cosas que me resultaron extrañas..como que no encontro los otros troyanos, segundo el cartelito me volvio a aparecer, y cuando fui a activar la rsstauracion..estaba activada...

que hagooo?

aa otra cosa...quizas tenga que volver a scanearlo...es que cuando entre a modo a prueba de fallos..me decia si queria entrar con un usuario o el administrador..entro por el otro si me deja?

GRACIASSSSSSS

y perdon por tanta lata

Thu Feb 22 17:41:36 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 22 17:43:11 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart



Thu Feb 22 17:48:43 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Feb 22 17:49:39 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\eMule\lang\AR_AE.DLL --> Eliminado, TFactory (dr.FakeAlert)



Thu Feb 22 17:50:12 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu Feb 22 17:50:18 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Thu Feb 22 17:50:24 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu Feb 22 17:50:29 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu Feb 22 17:50:32 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Thu Feb 22 17:50:36 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Thu Feb 22 17:50:42 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Feb 22 17:51:25 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu Feb 22 17:51:33 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

[/b]

[Nuker]

Pues te detecto un Fake Alert...En Modo Seguro debes entrar en la cuenta por la cual te infectaste...Lo de que viste la restauracion de sistema activa es normal cuando se hace un reinicio.



Actualiza tu Windows desde aqui que hace falta:



https://support.microsoft.com/es-es/help/12373/windows-update-faq



Mencionabas algo de un problema con el USB lanza ELITRIIP tambien Modo Seguro (le das a todo aceptar y nos pegas el log como lo hiciste con ELISTARA).



Y ya veremos que detecta...

[ANGELES78]

que es un Fake Alert? un troyano peligroso? esta eliminado ya? tengo que modificar alguna carpeta que me cambiara?



donde bajo el ELITRIIP ?



muchas gracias

[Nuker]

Lo siento se me paso el link...



ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp



Un Fake Alert es un programa [quote]con un marketing poco etico[/quote] dicho por MSC, este te dice que tu computadora ha sido infectada y debes comprar el producto que ellos te ofrecen para quitarte dicho virus...Bastante Molestos, prueba Elitriip y posteanos resultados.

[ANGELES78]

Hola aqui te pego el resultado...creo que no encontro nada, ya me diras algo...



creo que es la ultima parte del informe, lo primero me parece que es lo anterior..



Thu Feb 22 20:28:07 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Thu Feb 22 20:28:39 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Feb 22 20:33:16 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu Feb 22 20:33:27 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

[Nuker]

Limpio, lanza un Windows Update como te comentaba:



https://support.microsoft.com/es-es/help/12373/windows-update-faq



Reinicia, comentanos si se puede dar por SOLUCIONADO... Gracias.

[ANGELES78]

bueno....no se si abra actualizado algo ...luego me salio con que no se que tiene la version de mi window...en fin..



que te parece? se habra terminado el problema de estos bichos?...a mi como que me queda la duda de los q me habia detectado el Panda..el Agent.cdg y el downloader.mdw :?



el vartelito ese, me sigue apareciendo:



RUNDLL:



X Error al cargar usb496.dat

No se puede encontrar el modulo especificado







bueno...espero que este solucionado y no me de problemas...mi intencion era cambiar el antivirus por el NOD32..justo antes de hacerlo se me dio por escanear con este que estaba puesto y saliotodo esto..



TE AGRADEZCO POR TODO

MUCHAS GRACIASSS

[Nuker]

Pues veamos tu log de HJT...



Descargalo abrelo y le das en scan and save log file, copias contenido de bloc y lo pegas aqui para checar tus procesos o cualquier proceso extraño... ESTO EN MODO NORMAL



HJT:





http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[ANGELES78]

Logfile of HijackThis v1.99.1

Scan saved at 22:43:21, on 22/2/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\Real\RealPlayer\RealPlay.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

D:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\msi-kt6\CONFIG~1\Temp\Rar$EX00.719\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn6\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn6\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn6\yt.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LiveMonitor] C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "D:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172192098796

O17 - HKLM\System\CCS\Services\Tcpip\..\{1357A52E-5254-472D-87DB-0DAA22632758}: NameServer = 200.43.31.6 200.43.2.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe (file missing)

[Nuker]

Dale Fix Checked a esta en Modo Seguro:



O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute



Reinicias y me comentas, gracias..

[ANGELES78]

:roll: jo...q es todo esto....



la ventanita que me quedo abierta...la cierro con la X

o debo hacer algo mas....

[ANGELES78]

[b][i]Guauu..que bien! desaparecio el cartelito del inicio!!

eres un GENIO!! la tienes re clara

[/i][/b]

[Nuker]

Pues nos alegramos :D , si tiene mas problemas ya sabe donde estamos...Hasta Luego.







<SOLUCIONADO>

[ANGELES78]

[b]MUCHAS GRACIASS!



HASTA LUEGOO

:D :wink: [/b]

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 22-02-2007