problemas con troyanos (SOLUCIONADO)

bernar · Mensaje por **bernar** » 16 Mar 2007, 15:35

Pues mi problema es que cuando pongo internet sale el relojito de arena y se pone a pensar y al final lo tengo que quitar,tambien se me abren paginas.He analizado con Avast Antivirus y con Kaspersky Online y me ha detectado varios troyanos.

Los troyanos del analisis son estos:

C:\archivos de programa\archivos comunes\InstallShield\UpdateService\issch.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\archivos de programa\archivos comunes\InstallShield\UpdateService\isuspm.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe1171902456 Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\archivos de programa\QuickTime\qttask.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\WINDOWS\system32\bak\lsasss.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

Tambien en unos cuantos mas aqui:

C:\System Volume Information\_restore{D681F745-436D-4CF3-AB92-723A05A134B6}\RP10\A0002584.pif Infected: Trojan-Downloader.BAT.Ftp.z skipped

C:\System Volume Information\_restore{D681F745-436D-4CF3-AB92-723A05A134B6}\RP11\A0005696.pif Infected: Trojan-Downloader.BAT.Ftp.z skipp

Luego le pase tambien el spybot y me detecto tres sospechosos que no me los quita aunque reinice el ordenador:

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudC.zip/ishost.exe Suspicious: Password-protected-EXE skipped

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudC.zip ZIP: suspicious - 1 skipped

Y luego el analisis de Kasperky tambien me ha encontrado esto:

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

Y de este tipo pues unos 30 archivos mas o menos.

He puesto mas o menos lo mas importante del analisis,si necesitais todo el analisis,me lo decis y lo pongo.

No se que hacer,si se puede eliminar alguno de estos archivos para que funcione internet bien,o pasarle otro programa,no se,si me podeis ayudar os lo agradeceria.

Mensaje por **lucl** » 16 Mar 2007, 16:32

pasate elitriip y elistara en modo seguro y luego peganos el log como respuesta al tema, lo encontraras en C llamado infosat.txt saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

bernar · Mensaje por **bernar** » 16 Mar 2007, 17:59

Pues he pasado un par de veces los dos programas porque veia que lo pasaba demasiado rapido y esto es lo que pone en el archivo infosat:

Fri Mar 16 16:40:49 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AWTSR]

Por favor, envienos una muestra del fichero

C:\WinLogon\AWTSR.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\FCCCBBB.DLL.Muestra EliStartPage v13.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCCBBB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTSR.DLL.Muestra EliStartPage v13.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTSR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RSTWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{FEBAF0FA-6B2C-4ECD-A6B4-6DFBA0875483}" -> C:\WINDOWS\system32\awtsr.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 16 16:45:19 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\archivos de programa\archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\archivos de programa\archivos comunes\InstallShield\UpdateService\ISSCH.EXE --> Eliminado, DownLoader.Agent.AWF

C:\archivos de programa\archivos comunes\InstallShield\UpdateService\ISUSPM.EXE --> Eliminado, DownLoader.Agent.AWF

C:\archivos de programa\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Acceso Denegado, DownLoader.Agent.AWF

C:\archivos de programa\QuickTime\QTTASK.EXE --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\system32\BMYADEYX.DLL --> Acceso Denegado, Vundo4

C:\WINDOWS\system32\FTKBIPXH.DLL --> Acceso Denegado, Vundo4

C:\WINDOWS\system32\LSASSS.EXE --> Eliminado, DownLoader.Agent.AWF

Fri Mar 16 16:53:19 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\archivos de programa\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE.VIR --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\system32\BMYADEYX.DLL.VIR --> Acceso Denegado, Vundo4

C:\WINDOWS\system32\FTKBIPXH.DLL.VIR --> Acceso Denegado, Vundo4

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Mar 16 17:01:29 2007

EliTriIP v3.33 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Mar 16 17:02:01 2007

EliTriIP v3.33 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\archivos de programa\archivos comunes\KnifeEdge\CPanel.exe --> Eliminado, SdBot.worm.gen.T

Fri Mar 16 17:04:43 2007

EliTriIP v3.33 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Mar 16 17:04:51 2007

EliTriIP v3.33 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nuker · Mensaje por **Nuker** » 16 Mar 2007, 18:25

Tiene el Vundo y te falta la herramienta complementaria de nombre Elinotif.dll, lo que haras es lo siguiente, descarga Elistara y Elinotif.dll ambos los guardas en tu escritorio y ejecutas Elistara en Modo Seguro, debes de colocar Elinotif.dll en la misma carpeta que Elistara (en este caso estaran en el escritorio). Es para que Elistara lo detecte. Lo lanzas en Modo Seguro y nos vuelves a pegar el log que te arroje este. (infosat.txt)

Elinotif.dll:

http://www.zonavirus.com/descargas/elinotif.asp

Elistara:

http://www.zonavirus.com/descargas/elistara.asp

Saludos.

bernar · Mensaje por **bernar** » 16 Mar 2007, 18:46

Pues he hecho lo que dijiste y aqui tienes de nuevo el infosat:

Fri Mar 16 17:48:29 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FCCCBBB.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCCBBB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTSR.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTSR.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MWUKDNNS.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MWUKDNNS.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RSTWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D38439EC-4A7F-42b4-90C2-D810D7778FDD}" -> C:\WINDOWS\system32\mwukdnns.dll

Eliminada Class, "{1FB4CA92-1CE6-488B-859D-A27057EDB9B7}" -> C:\WINDOWS\system32\awtsr.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 16 17:48:43 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1606980848-308236825-682003330-1003\Dc14\tools\DIVXCALC.EXE --> Eliminado, Spy.Banker.BYU

C:\WINDOWS\system32\BMYADEYX.DLL.VIR.VIR --> Eliminado, Vundo4

C:\WINDOWS\system32\FTKBIPXH.DLL.VIR.VIR --> Eliminado, Vundo4

Instalada Utilidad "ELINOTIF.DLL"

Mensaje por **msc hotline sat** » 16 Mar 2007, 18:50

Está a medio camino, ahora ha de reiniciar y arrancaré con el ELISTARA automaticamente, el cual utilizará el ELINOTIF para eliminar el troyano antes de que entre en uso, y asi podrá eliminarlo.

Tras ello es cuando podrá postearnos el c:\infosat.txt definitivo para esta vez, en el que se verá el proceso del ELINOTIF y finalmente todos estos troyanos eliminados.

saludos

ms, 16-03-2007

bernar · Mensaje por **bernar** » 16 Mar 2007, 19:10

Pues he reiniciado,y ha analizado otra vez el elistara,y aqui os pongo el infosat de nuevo:

Fri Mar 16 17:48:29 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FCCCBBB.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCCBBB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTSR.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTSR.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MWUKDNNS.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MWUKDNNS.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RSTWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D38439EC-4A7F-42b4-90C2-D810D7778FDD}" -> C:\WINDOWS\system32\mwukdnns.dll

Eliminada Class, "{1FB4CA92-1CE6-488B-859D-A27057EDB9B7}" -> C:\WINDOWS\system32\awtsr.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 16 17:48:43 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1606980848-308236825-682003330-1003\Dc14\tools\DIVXCALC.EXE --> Eliminado, Spy.Banker.BYU

C:\WINDOWS\system32\BMYADEYX.DLL.VIR.VIR --> Eliminado, Vundo4

C:\WINDOWS\system32\FTKBIPXH.DLL.VIR.VIR --> Eliminado, Vundo4

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\awtsr"

Elininado BHO: "{585512C5-052D-485E-8DE0-5828507D6027}"

Elininada Class: "{585512C5-052D-485E-8DE0-5828507D6027}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\fcccbbb.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\fcccbbb"

Desinstalado EliNotif.dll

Fri Mar 16 18:07:06 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AWTSR.DLL.Muestra EliStartPage v13.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTSR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RSTWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{2883A04D-8A51-42ED-BF48-479C44188E1C}" -> C:\WINDOWS\system32\awtsr.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 16 18:07:27 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Mensaje por **msc hotline sat** » 16 Mar 2007, 19:22

Ahora sí que has eliminado lo que tenias a medias, pero detectamos una variante que no conocemos ni controlamos, por lo que te pedimos que nos envies muestra y asi poder eliminar claves, detener proceso y eliminar ficheros relacionados:

Por favor, envienos una muestra del fichero

C:\Muestras\AWTSR.DLL.Muestra EliStartPage v13.55

ya sabes: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 16-03-2007

bernar · Mensaje por **bernar** » 16 Mar 2007, 19:38

Muchas gracias,estaré a la espera de noticias suyas sobre la muestra.

Un saludo.

Mensaje por **msc hotline sat** » 16 Mar 2007, 20:03

Pero de momento esté tranquilo que ya lo tiene fuera de servcio, aparcado en C:\muestras , por lo que tras reiniciar , ya puede trabajar normalmente, aunque esté un poco "sucio" :lol:

saludos

ms, 16-03-2007

bernar · Mensaje por **bernar** » 19 Mar 2007, 20:06

Pues ahora lo que me sale es mucha publicidad en internet,y hay varias veces que se me bloquea la pagina en la que estoy.

Cuando paso el Spybot,me saca el win32.agent.pz,y me dice que no lo puede arreglar,que cuando reinicie el problema sera arreglado,pero nada reinicio y sigue igual detectando el win32.agent.pz y no lo quita.¿Queria saber tambien si los archivos .exe que se encuentran en c:/system volume information/_restore se pueden eliminar? Gracias y un saludo

Mensaje por **msc hotline sat** » 19 Mar 2007, 20:26

si son viricos si, claro. Para ello desactive la restauracion de sistema y arranque en modo seguro y asi podrá eliminarlos:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

saludos

ms, 19-03-2007

bernar · Mensaje por **bernar** » 23 Mar 2007, 22:15

Pues he pasado el spybot y me detecta unos win32.Agent.pz que no lo puede limpiar,el resto de archivos si que los limpia,pero esos archivos es imposible,¿esos archivos los puedo borrar con killbox o algun programa parecido o son importantes para el funcionamiento del ordenador?.Aqui pongo la lista del resultado del Spybot

Smitfraud-C.Toolbar888: Configuración (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1645522239-362288127-1801674531-1003\Software\Microsoft\aldd

Smitfraud-C.Toolbar888: Configuración (Clave del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Araf15

Win32.Agent.pz: Carpeta de programa (Carpeta, fixing failed)

C:\WINDOWS\system32\wsnpoem\

Win32.Agent.pz: Biblioteca (Archivo, nothing done)

C:\WINDOWS\system32\wsnpoem\audio.dll

Win32.Agent.pz: Biblioteca (Archivo, nothing done)

C:\WINDOWS\system32\wsnpoem\video.dll

Win32.Agent.pz: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=...C:\WINDOWS\system32\ntos.exe,...

CasaleMedia: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

Statcounter: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

ReliableStats: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

ReliableStats: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

ReliableStats: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

ReliableStats: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

Winsoftware.WinAntiVirusPro2006: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

Winsoftware.WinAntiVirusPro2006: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

Winsoftware.WinAntiVirusPro2006: Cookie de seguimiento (Firefox: default) (Cookie, fixed)

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2006-11-13 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2007-01-15 advcheck.dll (1.2.1.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2007-01-02 Tools.dll (2.0.1.0)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2007-03-21 Includes\Cookies.sbi (*)

2006-12-08 Includes\Dialer.sbi (*)

2007-03-21 Includes\DialerC.sbi (*)

2007-03-21 Includes\Hijackers.sbi (*)

2007-03-21 Includes\HijackersC.sbi (*)

2006-10-27 Includes\Keyloggers.sbi (*)

2007-03-21 Includes\KeyloggersC.sbi (*)

2007-03-21 Includes\Malware.sbi (*)

2007-03-21 Includes\MalwareC.sbi (*)

2007-03-21 Includes\PUPS.sbi (*)

2007-03-21 Includes\PUPSC.sbi (*)

2007-03-21 Includes\Revision.sbi (*)

2006-12-08 Includes\Security.sbi (*)

2007-03-21 Includes\SecurityC.sbi (*)

2007-03-21 Includes\Spybots.sbi (*)

2007-03-21 Includes\SpybotsC.sbi (*)

2005-02-17 Includes\Tracks.uti

2007-03-21 Includes\Trojans.sbi (*)

2007-03-21 Includes\TrojansC.sbi (*)

Mensaje por **msc hotline sat** » 23 Mar 2007, 22:30

No veo mas que una carpeta que se resiste, , pero lo demas, carpetas borradas, claves eliminadas, cookies eliminadas, y archivos sin problemas...

Vea que hay en esta carpeta C:\WINDOWS\system32\wsnpoem\ y nos lo comenta...

pero por lo demas, no veo ya nada virico, diganos si nota alguna anomalia o persiste algun problema

saludos

ms, 23-03-2007

bernar · Mensaje por **bernar** » 23 Mar 2007, 22:48

En la carpeta C:\WINDOWS\system32\wsnpoem\ lo unico que veo es dos archivos,uno que pone audio.dll y otro video.dll.

El unico problema que suelo tener es que varias veces se bloquea internet y no cambia la pagina y tengo que darle a ctrl supr para quitarlo,y tambien que me salen muchas paginas anunciando antivirus.

¿Puedo borrar esos dos archivos o no?

Nuker · Mensaje por **Nuker** » 23 Mar 2007, 23:58

No, no los borre, envie los 2 (audio y video.dll) para su analisis y neutralizacion.

Envio de muestras:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

bernar · Mensaje por **bernar** » 24 Mar 2007, 00:25

Siento no poder enviarselos,el email me dice esto:

Error al adjuntar el archivo C:\WINDOWS\system32\wsnpoem\audio.dll debido a que ya no existe o esta siendo utilizado por otra aplicacion.

Lo mismo dice con el de video.dll

Me podeis dar alguna solucion.Gracias

Mensaje por **msc hotline sat** » 25 Mar 2007, 11:45

Sí, empaquetalo en un ZIP o RAR con password VIRUS como se indica en:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y haz el empaquetado arrancando en modo seguro para que no incordie ningun otro residente, ni antivirus ni procesos activos en memoria

saludos

ms, 25-03-2007

bernar · Mensaje por **bernar** » 25 Mar 2007, 12:45

Me es imposible,ya que la carpeta en la que se encuentran estos dos archivos la unica manera de poder encontrarla es mediante el spybot,yo intento buscar esta carpeta con estos dos archivos sin tener que usar el spybot,pero no la encuentro,al tener que usar el spybot para buscarlos no me deja luego empaquetar en rar,me dice que esta siendo usado por otro proceso y tiene que ser el spybot el que no me deja.

Mensaje por **msc hotline sat** » 25 Mar 2007, 12:56

Arrancando en modo seguro no pueden estar en uso ni que otras aplicaciones las usen...

Le recuerdo: http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

saludos

ms, 25-03-2007

bernar · Mensaje por **bernar** » 25 Mar 2007, 13:00

Pero es que esa carpeta sin el spybot me es imposible encontrarla.

Mensaje por **msc hotline sat** » 25 Mar 2007, 13:32

Pues sin los ficheros, lo unico que puede ofrecerle es informacion:

http://research.sunbelt-software.com/threatdisplay.aspx?name=Backdoor.Win32.Small.lu&threatid=70959

Mira si encuentras al menos:

C:\windows\system32\NTOS.EXE

C:\windows\RJX.EXE

y nos los envias...

saludos

ms, 25-03-2007

bernar · Mensaje por **bernar** » 25 Mar 2007, 13:56

Pues he arrancado en modo seguro,he desactivado el antivirus,y he buscado el archivo C:\windows\system32\NTOS.EXE,y ese si que lo he encontrado,el otro C:\windows\RJX.EXE no lo he podido encontrar.

He intentado sacar el archivo ntos.exe de la carpeta y es imposible,me dice que esta siendo usado.

Mensaje por **msc hotline sat** » 25 Mar 2007, 14:06

Mire de renombrarlo a extension .VIR y volver a arrancar en modo seguro, a ver si entonces lo puede sacar, o al menos mover al escritorio...

saludos

ms, 25-03-2007

bernar · Mensaje por **bernar** » 25 Mar 2007, 14:15

El link que me has puesto para darme informacion sobre este problema con estos archivos infectados,he leido que aconsejan quitarlos,osea borrarlos.

Mensaje por **msc hotline sat** » 25 Mar 2007, 14:26

Todo a su tiempo, antes debes enviarnoslos para que podamos analizarlos, sino mo podremos ayudarte...

AL final los eliminaremos, pero cuando sepamos que mas han tocado y lo que hemos de deshacer para que no persistan los problemas o no haya de nuevos !

Ya has visto la de ficheros relacionados que tienen, y consecuentemente claves de registro, incluso no visibles con el HJT

saludos

ms, 25-03-2007

bernar · Mensaje por **bernar** » 26 Mar 2007, 12:00

Ayer pase el spybot,y ya no me ha sacado nada,pase tambien el reegseker,y este me saca en Hkey classes root me saca 10 invalid ActiveX/com entry (CLSID),son en AcroIEhelper.AcroIEhlprobj,en Acropdf.FDF,y en interface,estos no se pueden quitar,siempre los saca el reegseker,los limpias,pero lo vuelves a pasar y te vuelven a salir.El ordenador no va mal,el problema es que le cuesta un poco reiniciar,y cuando te metes en internet,sale mucha publicidad de compra de antivirus,esto sobre todo es lo que más me molesta,tambien alguna que otra el avast detecta un win32 que se encuentra en un .temp.

Mensaje por **msc hotline sat** » 26 Mar 2007, 14:42

Pues si ademas nos envia estos ficheros temporales, tambien los analizaremos para controlarlos, pero mientras tenga estas comparticiones P2P, no espere librarse de adwares y publicidad, es su contrapartida.

saludos

ms, 26-03-2007

bernar · Mensaje por **bernar** » 26 Mar 2007, 18:11

Los ficheros Ntos.exe y el fichero rjx.exe no los tengo,los busco en windows y no estan,en cuanto a los ficheros temporales no los puedo mover de donde estan.

Mensaje por **msc hotline sat** » 26 Mar 2007, 19:31

Mire si los encuentra arrancando en modo seguro y configurando windows para ver ficheros ocultos y de sistema...

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

saludos

ms, 26-03-2007