Eliminar troyano (SOLUCIONADO)

Cerrado
Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Eliminar troyano (SOLUCIONADO)

Mensaje por Charlie_com » 31 Jul 2007, 18:19

Hola amigos, soy nuevo en el foro, y me gustaria q me ayudaran a eliminar un troyano (eso parece ser) cuando reviso mi pc con el Ad-Aware SE indica el Aware.CDN y no he podido eliminarlo, alguna sugerencia x favor :(
Adjuntos
Adaware[1].jpg
Asi me indica
(58.36 KiB) Descargado 616 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 18:20

Pues pruebelo arrancando en modo seguro y asi el AD_AWARE es posible que pueda eliminarlo



Y nos informa del resultado, gracias



saludos



ms, 31-07-2007

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 31 Jul 2007, 18:37

Hola, pues fijate, he intentado con el syware doctor y no lo detecta, lo borre del registro con el tune-up utilities y tampoco, pero intentare de esa manera, gracias :)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 18:44

Es que windows no deja eliminar lo que está en uso, por ello es importante arrancar en modo seguro para que no lo estén los malwares



saludos



ms, 31-07-2007

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 31 Jul 2007, 20:00

Entonces seria darle "f8" al iniciar y ponerle a prueba de fallos o modo seguro.... sorry :(

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 20:07

Repetidamente al F8, hasta que aparezca el menu de inicio, en el que escoger ARRANCAR EN MODO SEGURO, Y EN TAL MODO LANZAR EL ad_aware.



y nos informa del resultado, gracias



saludos



ms, 31-07-2007

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 01 Ago 2007, 00:49

Hola amigo ya realize los pasos q me dijiste, y si lo elimina en modo seguro, pero al regresar a el estado normal lo identifica de nuevo??? :oops: :?:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 05:30

Posiblemente tengas un dropper o un downloader que lo regenera



Posteanos log del HJT a ver si allí aparece :



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 1-08-2007

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 02 Ago 2007, 01:14

Hola aqui va



Logfile of HijackThis v1.99.1

Scan saved at 06:14:07 p.m., on 01/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Charlie G. Domene\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://espanol.weather.com/weather/local/MXCL0013

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174695101765

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586-jc.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe



salu2 :(

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 07:05

Pues el log está limpio...



Mira de enviarnos el fichero donde lo detectas y lo analizaremos:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-08-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 14:42

Me informan que han recibido en lugar de la muestra pedida para monitorizar, un fichero de texto con una clave de registro, que no viene el caso enviarla a SATINFO !



Logs, txt y lo que no sean muestras sospechosas debe postearse en el foro, con un copiar y pegar:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 2-08-2007

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 02 Ago 2007, 17:24

Mira esto es lo que aparece despues de la revisión con el Ad-Aware SE



Adware.CDN Object Recognized!

Type : Regkey

Data :

TAC Rating : 8

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\activex compatibility\{9a578c98-3c2f-4630-890b-fc04196ef420}



y disculpas pero me confundi y fue x eso q lo envie :(

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 20:14

Esto es una clave de registro, no un fichero !



Si quiere eliminar esta clave, busque con el BUSCAREG la que contenga la class que indica:



9a578c98-3c2f-4630-890b-fc04196ef420



y cuando la encuentre, haga doble click sobre lo encontrado , lo cual le abrirá una pagina con dicha clave y le ofrecerá eliminarla, proceda con ello



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 2-08-2007
Última edición por msc hotline sat el 06 Ago 2007, 08:33, editado 1 vez en total.

Avatar de Usuario
Charlie_com
Mensajes: 7
Registrado: 31 Jul 2007, 18:11

Mensaje por Charlie_com » 06 Ago 2007, 00:37

Hola, ya esta resuelto, instale un crack de el Ad-Aware 2007 y aunq batalle para eliminarlo, x fin, o tal vez fue x la actualizacion de el Ad-Aware se salu2

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 06 Ago 2007, 08:34

Eso te pasa por usar cracks !!!



Damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 6-08-2007

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”