Problema con Troyano

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Problema con Troyano

Mensaje por Vega » 22 Abr 2006, 06:44

Hola! Bueno, recientemente se me ha colado un troyano, [b]Win32/Favadd.I [/b], y me ha creado este archivo ----- C:/WINDOWS/system32/PSDrvCheck.NL



(aunque en realidad me ha creado diferentes carpetas PSDrvCheck. con diferentes terminaciones: .exe---.esp---.CHS---.IT---etc..)



La verdad es que no tengo mucha idea de cómo desinfectarlo o eliminarlo. Me han dicho que es un troyano nuevo y que pidiese ayuda aquí. A ver si me podeis echar un cable.



Según he visto por el foro, le he pasado el programa que soleis recomendar y me ha dado este resultado:


[quote]Logfile of HijackThis v1.99.1

Scan saved at 6:18:20, on 22/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Rainlendar\Rainlendar.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\David\CONFIG~1\Temp\Rar$EX06.640\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Rainlendar.lnk = C:\Archivos de programa\Rainlendar\Rainlendar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) -

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


[/quote]

También le pasé el Elistara, pero no me localizó nada.



Podríais ayudarme con los pasos a seguir? Un saludo y muchas gracias :!:
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Abr 2006, 09:33

Pues cuando se detecta algo conocido, se ha de eliminar con las utilidades instaladas o específicas, y si tu antivirus NOD no te lo elimina, en este caso prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Tras ello reinicia y cuentanos el resultado y si persisten las anomalias, cuentanos cuales y posteanos nuevo log del HJT de entonces.



saludos



ms, 22-4-2006
Arriba
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Mensaje por Vega » 22 Abr 2006, 10:55

Gracias, msc hotline sat.

Bueno, lo eliminé con el NOD, que me dio el aviso. Pero als carpetas creadas en C/WINDOWS siguen ahí. ¿Qué hago con ellas?



PD:¿No hay nada "raro" en el log del HJT?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Abr 2006, 11:18

Pues claro que hay !!! Por esto te decia que pasaras el ELISTARA, y me parece que no los has hecho...



Tras ello posteanos el conytenido de C:\infosat.txt y veremos si conoce el NewDotNet que tienes o te pide que nos envies muestras o qué ...



Y si no indica nada, ye pediríamos nuevo log actual del HJT del cual hay claves que eliminar, si no son eliminadas por dicha utilidad, pero no antes que ella, ya que su eliminacion manual podría impedir saber que se han de eliminar otras claves no visibles en el log del HJT, ya que el registro de sistema es inmenso y el log en cuestion visualiza solo un 1 % de las claves del registro!!!



saludos



ms, 4-2-2006



Nota: y sobre carpetas creadas en C:\windows, si lo ha hecho el virus, deberían haber sido borradas por el antivirus, y sino, bajo su responsabilidad ... ms.
Arriba
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Mensaje por Vega » 22 Abr 2006, 12:08

Hola de nuevo.

Antes si que le pasé el Elistara, pero no me localizó, ni desinfectó o eliminó nada. Se lo he vuelto a pasar, con el mismo resultado.

Te pongo el infosat:


[quote] Sat Apr 22 11:42:09 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 22 11:42:40 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ABC\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\OutLaster\UN-SHHOST.EXE --> AutoExtraible

C:\Archivos de programa\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\xp-AntiSpy\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\David\Escritorio\Mis Trastos\WXP-W2K-8-082-041130A-019577C.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3-1.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\AZUREUS_2.3.0.4_WIN32.SETUP.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET_0.59.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\Mi Software\WINAMP508E_LITE.EXE --> AutoExtraible[/quote]

Gracias y Saludos





PD: Cuando le paso el elistara, el spybot me da varios avisos de intentos de acceder como "Search Bar http://www.microsoft.com/en/us/default.aspxisapi..etc" o "Local Page %SystemRoot%/system32/blank.htm", "SearchAssistant http://ie.search.msn.com/(SUB_RFC1766/s", y varios más. En principio he denegado los cambios. ¿He hecho bien?



También, cuando reinicio el Pc me da un aviso de NewDotNet. Tambien lo deniego. ¿Qué hago? :?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Abr 2006, 12:16

No, deja hacer al ELISTARA lo que pida, o lo lanzas arrancando en modo seguro y asi nadie incordiará



saludos



ms, 22-4-2006
Arriba
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Mensaje por Vega » 22 Abr 2006, 13:02

Ok, lo he hecho en modo seguro y me ha dado esto (aunque sigue sin detectarme nada):




[quote] Sat Apr 22 11:42:09 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 22 11:42:40 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ABC\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\OutLaster\UN-SHHOST.EXE --> AutoExtraible

C:\Archivos de programa\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\xp-AntiSpy\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\David\Escritorio\Mis Trastos\WXP-W2K-8-082-041130A-019577C.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3-1.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\AZUREUS_2.3.0.4_WIN32.SETUP.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET_0.59.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\Mi Software\WINAMP508E_LITE.EXE --> AutoExtraible



Sat Apr 22 12:02:50 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 22 12:28:24 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "New.net Startup"="rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 22 12:29:40 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ABC\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\OutLaster\UN-SHHOST.EXE --> AutoExtraible

C:\Archivos de programa\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\xp-AntiSpy\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\David\Escritorio\Mis Trastos\WXP-W2K-8-082-041130A-019577C.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3-1.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.1B.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\ABC-WIN32-V3.0.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\AZUREUS_2.3.0.4_WIN32.SETUP.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\BITCOMET_0.59.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\David\Mis documentos\Mi Software\WINAMP508E_LITE.EXE --> AutoExtraible[/quote]

También le he pasado otra vez el HTJ, con este resultado:


[quote]Logfile of HijackThis v1.99.1

Scan saved at 12:57:45, on 22/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Rainlendar\Rainlendar.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Documents and Settings\David\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Rainlendar.lnk = C:\Archivos de programa\Rainlendar\Rainlendar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) -

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe




[/quote]

¿Qué debo hacer ahora?



Gracias de nuevo y Saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Abr 2006, 20:14

Quien dice que no ha hecho nada ???



Lee bien:



Entrada Eliminada [HKLM\...\Run] "New.net Startup"="rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s"



lo cual ha eliminado la llamada al NewDotNet

y ademas te está indicando que faltan parches :



"No detectado Parche MS06-001 de Microsoft instalado"



Lo primero es lanzar un windowsupdate para actualizar los parches que te faltan , pues por lo menos los de este año no los tienes instalados, y sin parches de nada sirven los antivirus en algunos casos- Lamza un windowsupdate y actualiza





Luego elimina estas claves que llaman a un fichero inexistente:



O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)



O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)



O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)



O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet7_14.dll' missing





y tras ello ya quedas limpio de polvo y paja. Reinicia y nos cuentas si persiuste alguna anomalia o ya está solucionado el problema



saludos



ms, 22-4-2006
Última edición por msc hotline sat el 23 Abr 2006, 19:22, editado 2 veces en total.
Arriba
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Mensaje por Vega » 23 Abr 2006, 14:22

Hola de nuevo.



He hecho todo lo que me dijiste y la verdad, creo que conseguí limpiar el troyano. :wink:

La alerta ha desparecido y el archivo que creó está en cuarentena.



Aunque las carpetas esas que te puse antes, que se me habían creado (C:/WINDOWS/system32/PSDrvCheck.NL, etc) siguen en el mismo sitio.



Por otro lado, le he pasado el AntiScan de Panda y, aunque ya no me ha detectado virus alguno, sí que me ha detectado herramientas hacking (que digo yo que deben ser spyware).



Reinicié el PC en 'modo seguro' con la opción de Restaurar sistema desabilitada, y le he pasado el Spybot S&D y el Adaware, pero no me han localizado nada :?



No sé qué hacer ahora.



Saludos!



Esto es el informe del AntiScan de Panda:




[quote][size=75]Incidencia Estado Elemento



Spyware:spyware/new.net No desinfectado C:\ARCHIVOS DE PROGRAMA\NewDotNet

Spyware:Cookie/adultfriendfinder No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.adultfriendfinder.com/]

Spyware:Cookie/WUpd No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.revenue.net/]

Spyware:Cookie/Searchportal No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[searchportal.information.com/]

Spyware:Cookie/cs.sexcounter No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.cs.sexcounter.com/]

Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.statcounter.com/]

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.com.com/]

Spyware:Cookie/RealMedia No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.realmedia.com/]

Spyware:Cookie/Yadro No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.yadro.ru/]

Spyware:Cookie/Apmebf No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Bs.serving-sys No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.bs.serving-sys.com/]

Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Falkag No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.as-eu.falkag.net/]

Spyware:Cookie/BurstNet No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.burstnet.com/]

Spyware:Cookie/Casalemedia No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.casalemedia.com/]

Spyware:Cookie/Reliablestats No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[stats1.reliablestats.com/]

Spyware:Cookie/FortuneCity No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.fortunecity.com/]

Spyware:Cookie/Inet-Traffic No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.inet-traffic.com/]

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.terra.com.br/]

Spyware:Cookie/onestat.com No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[stat.onestat.com/]

Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Falkag No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.as-us.falkag.net/]

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.ig.com.br/]

Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.zedo.com/]

Spyware:Cookie/fe.lea.lycos No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[fe.lea.lycos.es/]

Spyware:Cookie/DomainSponsor No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[landing.domainsponsor.com/]

Spyware:Cookie/Atwola No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.atwola.com/]

Spyware:Cookie/Xmts No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.xmts.net/]

Spyware:Cookie/Toplist No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.toplist.cz/]

Spyware:Cookie/Maxserving No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.maxserving.com/]

Spyware:Cookie/Adserver No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[adserver.terra.es/]

Spyware:Cookie/fe.lea.lycos No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Rn11 No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.rn11.com/]

Spyware:Cookie/bravenetA No desinfectado C:\Documents and Settings\David\Datos de programa\Mozilla\Firefox\Profiles\hrma66b7.default\cookies.txt[.bravenet.com/]

Spyware:Cookie/BurstBeacon

[/quote][/size]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 23 Abr 2006, 19:36

Son cookies de las aplicaciones troyanas que tuviste. Puedes eleiminarlas desde el I.E., eliminandp temporales y cookies de Intenet, entrando en Herramientas -> Opciones de Internet -> Archivos Temporales-> Eliminar cookles



Puedes hacerlo rambien con el ELITEMPO que accede a carpetas ocultas y limpia tempoorakes que de otro modo no se consigue:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



y tras ello reinicia y nos cuentas el resultado, y si persiste algun problema o podemos considertar soluciuonado el Tema



saludos



ms, 23-4-2006
Arriba
Vega
Mensajes: 6
Registrado: 22 Abr 2006, 06:10

Mensaje por Vega » 25 Abr 2006, 16:46

Hola otra vez, msc hotline sat!



Pues he hecho lo que me dijiste y la verdad, al volver a pasarle el antiScan de Panda de nuevo me da más de 45.000 spyware (aunque ya no aparece la herramienta hacking que era un tool). Lo curioso es que le paso el adaware y el Spybot S&D y sigue sin localizarme ni 1 solo de esos 45.000.

También le pasé el ELITEMPO y borre las cookies y tal del IE (aunque yo uso mozilla), y nada.



[img]http://img101.imageshack.us/img101/3826/analisisantiscan8uh.jpg[/img]

[size=75]Aquí no hagas caso del aviso de herramienta hacking, ya que la borré.[/size]







Así que una de dos:



- O algo estoy haciendo mal.

- Las alertas esas son solo estrategia por parte de Panda para que adquiera su antivirus, ya que el antiscan gratuito desinfecta y elimina virus, pero NO spyware y demás.



A esto, le sumo dos preguntas más, a ver si me puedes ayudar:



¿Cómo desinfecto y/o elimino la morralla que tengo en la carpeta de cuarentena del NOD32?



¿Que hago con las carpetas que me creó el troyano y que aún siguen ahí?



Saludos!



PD: Siento darte tanto la koña xD
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”