Alerta de nod32:imon troyano! no puede con El!!

[Cyrano18]

Hola mu buenas!

escribo porque tengo el nod32 y me esta detectando un troyano, me aparece el siguiente mensaje:

---------------------------------------------------------

Alertas Nod32 antivirus system: IMON - Proteccion de Internet





Informacion de Virus

Archivo:

http://58.65.239.26/cpanel008/ldr.exe

Virus:

Modificado Win32/Spy.Agent.PZ Troyano

Comentario:

IMON no puede limpiar esta infeccion

-----------------------------------------------------------

me ofrece las opciones de cuarentena, mostrar ventana de alerta, y Abortar/desconectar Finaliza la carga del acceso.



le de al que le de me acaba saliendo siempre el mensaje al cabo de unas horitas :(



¿¿Alguna opinion?? (prefiero solucion jejeje :wink: )

[msc hotline sat]

Pues ponlo en cuarentena y nos envias muestra para analizar, y desarrollaremos utilidad de eliminacion



recuerda: https://foros.zonavirus.com/viewforum.php?f=5



saludos



ms, 6-03-2007

[msc hotline sat]

Aparte de otras consideraciones que ya posteará el autor del Tema, ha posteado en Tema paralelo log del HJT que se reproduce aqui :



Logfile of HijackThis v1.99.1

Scan saved at 15:18:36, on 06/03/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\csrss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

G:\WINDOWS\system32\spoolsv.exe

G:\Archivos de programa\nod32\nod32krn.exe

G:\WINDOWS\System32\nvsvc32.exe

G:\ARCHIV~1\Agnitum\Outpost Firewall\outpost.exe

G:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

G:\WINDOWS\installdmr.exe

G:\WINDOWS\System32\wdfmgr.exe

G:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

G:\WINDOWS\Explorer.EXE

G:\WINDOWS\System32\algose32.exe

G:\Archivos de programa\Gamesurround Fortissimo 4 mixer\EnMixCPL.exe

G:\Archivos de programa\nod32\nod32kui.exe

G:\WINDOWS\System32\tcpipmon.exe

G:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe

G:\WINDOWS\System32\ctfmon.exe

G:\WINDOWS\System32\tcpipmon.exe

G:\Archivos de programa\Microsoft Office\Office\OSA.EXE

G:\Archivos de programa\emule extreme\emule.exe

G:\Archivos de programa\VideoLAN\VLC\vlc.exe

G:\Archivos de programa\Opera\Opera.exe

G:\Archivos de programa\WinRAR\WinRAR.exe

G:\DOCUME~1\Dani\CONFIG~1\Temp\Rar$EX00.766\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\System32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [] windupdate.exe

O4 - HKLM\..\Run: [Offices Monitorse] G:\WINDOWS\System32\algose32.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [EnvyHFCPL] G:\Archivos de programa\Gamesurround Fortissimo 4 mixer\EnMixCPL.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "G:\Archivos de programa\nod32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KAVPersonal50] "G:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Outpost Firewall] G:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [Win32] eim.exe

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKLM\..\RunServices: [] windupdate.exe

O4 - HKLM\..\RunServices: [Win32] eim.exe

O4 - HKCU\..\Run: [VodafoneUSBPP.exe] G:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows

O4 - HKCU\..\Run: [Offices Monitorse] G:\WINDOWS\System32\algose32.exe

O4 - HKCU\..\Run: [userinit] G:\WINDOWS\System32\ntos.exe

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = G:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = G:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - G:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172067478731

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C3DF109-4B47-4355-A7F1-C31FA10C7E40}: NameServer = 212.73.32.3 212.73.32.67

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "G:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - G:\WINDOWS\

O23 - Service: kavsvc - Kaspersky Lab - G:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - G:\Archivos de programa\nod32\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - G:\ARCHIV~1\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PDAgent - Raxco Software, Inc. - G:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - G:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - G:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - G:\WINDOWS\installdmr.exe

O23 - Service: Symantec Core LC - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



Analizado cabe indicar:





Ante todo instale los parches de microsoft. No tiene ninguno instalado !!!



________



Luego lance el





ALGOSE32.EXE : SPYBOT TROJAN





ELITRIIP



---v3.21---(20 de Febrero del 2007) (Muestras de (2)SpyBot "ALGOSE32.EXE")



_________



TCPIPMON.EXE : FAKE ALERT



ELISTARA:



---v13.40-(24 de Febrero del 2007) (ultimas muestras recibidas : Muestras de Puper-Isa 'IESPLUGIN.DLL'), FakeAlert 'TCPIPMON.EXE', (2)Tibs(dldr) 'ADIRSS.EXE y LNWIN.EXE', BraveSentry(dldr) 'XPUPDATE.EXE', BraveSentry(antispy), DownLoader-Small 'KERNELS88.EXE', Lager 'TASKDIR.EXE', DownLoader.AXI '*******.DLL' y Malware.RPCC 'RPCC.DLL')





__________



NTOS.EXE : TROYANO NO CONTROLADO





ENVIARNOS MUESTRA



___________





SOSPECHOSOS: ENVIARNOS MUESTRA:



windupdate.exe



eim.exe



INSTALLDMR.EXE



____________



Eliminar clave:



O20 - Winlogon Notify: WgaLogon - G:\WINDOWS\





____________



Desinstalar aplicaciones:



Tienes Kaspersky y NOD32 instalados. Debe desinstalar uno de los dos !



_____________





Se recuerdan links de descarga y metodo de eliminacion de claves/envio de muestras:









https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 6-03-2007

[Cyrano18]

Hola! ante todo perdonad por el retraso de mi respuesta, porque tengo el vodafone usb y aveces no me va durante una temporada, ahora he conseguido actualizarme el windows con el sp2 y diversas actualizaciones mas, no descargandomelas, sino por un amiguete que tenia el xp con el sp1 entonces me pude instalar el sp2 y pude activar el servicio del centro de seguridad para que me informase sobre las actualizaciones que me faltaban :D toi mu contento por tener ya el ordenata actualizado, pero me faltan unos detallitos, Elistarra me informa que tengo un troyano, el keylogg Briss y que reinicie para su eliminacion,vi un mensaje de un usuario que tenia el mismo problema que yol deciais que se actualizara elistarra, lo he actualizado a la ultima version pero no me lo elimina, que hago??



ah por cierto sigo teniendo el archivo ntos.exe me hhe informado que puede ser un spyware, metodos de eliminacion? :(



tambien me dices que elimine la llave

020 - winlogon notify: wgalogon.. como lo hago?



me dices tambien que me baje el delPS guard, pero no me deja descargarlo el link



hay 2 procesos los que me resultan muy sospechosos, el algose32.exe y el aim.exe



ah, tambien he enviado los archivos que me pediste comprimidos en un .rar i algun otro de sospechoso, ya me diras...



aqui te dejo el hijack: espero que la lista dde fallos no sea tan grande como antes jejeje

Logfile of HijackThis v1.99.1

Scan saved at 16:36:10, on 12/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\Archivos de programa\nod32\nod32krn.exe

G:\ARCHIV~1\Agnitum\Outpost Firewall\outpost.exe

G:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

G:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

G:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

G:\WINDOWS\Explorer.EXE

G:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Archivos de programa\Messenger\msmsgs.exe

G:\Archivos de programa\Microsoft Office\Office\OSA.EXE

G:\Archivos de programa\Opera\Opera.exe

G:\Archivos de programa\emule extreme\emule.exe

G:\DOCUME~1\Dani\CONFIG~1\Temp\Rar$EX00.515\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\System32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [EnvyHFCPL] G:\Archivos de programa\Gamesurround Fortissimo 4 mixer\EnMixCPL.exe

O4 - HKLM\..\Run: [AWMON] "G:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [Local Security Authority Service] G:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\RunOnce: [ReEXEc] G:\Documents and Settings\Dani\Mis documentos\programes 1\ELISTARA.16032007.EXE

O4 - HKCU\..\Run: [VodafoneUSBPP.exe] G:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [userinit] G:\WINDOWS\System32\ntos.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = G:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = G:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - G:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172067478731

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1173655817112

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C3DF109-4B47-4355-A7F1-C31FA10C7E40}: NameServer = 212.73.32.3 212.73.32.67

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "G:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - G:\WINDOWS\

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - G:\Archivos de programa\nod32\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - G:\ARCHIV~1\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PDAgent - Raxco Software, Inc. - G:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - G:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - G:\WINDOWS\installdmr.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



gracias por los esfuerzos de los moderadores y demas colaboradores, ofreceis un gran servicio a los aprendices como yo que no quieren ni oir hablar que algun tecnico o presona ajena a su confianza toque su ordenador, mil gracias!!!! :wink:

[msc hotline sat]

La eliminacion de las claves viene explicado en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Pero de lo que me dices que


[quote]
me dices tambien que me baje el delPS guard, pero no me deja descargarlo el link
[/quote]

creo que te has confundido...



saludos



ms, 12-03-2007