Win32/PTCasino aplication (SOLUCIONADO)

[San_Medir]

Hola,

el antivirus me ha detectado esta amenaza, en el segundo disco duro dentro de la carpeta oculta System Volume Information\_restore . En este disco duro no tengo el sistema operativo, y no he notado un comportamiento anormal en el ordenador. ¿Borrarlo de la carpeta de cuarentena es suficiente?



Gracias.



Edito para decir que he configurado la carpeta para que no esté oculta, pero no tengo acceso al contenido. Quería pasar el antivirus on line (versión examinar fichero) pero no he podido.

[Claudia34]

Desactiva la restauracion de sistema momentaneamente, y luego vuelve a habilitarlo y asi se solucionara.

Y por si no tienes alguna que otra cosa pasate estos:



Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Saludos.

[flacoroo]

como te dice Claudia34 deshabilita la opcion Restaurar del sistema, actualiza tu antivirus, pasas las herramientas que te dicen y despues ejecutas en todas las unidades de disco duros que tengas para que te elimine lo que se encuentre en System Volume Information\_restore, pero debes hacerlo reinicando tu compu en modo Seguro......

[msc hotline sat]

Pero ten en cuenta que salvo que restauraras el sistema a un punto anterior, este fichero, al estar en el RESTORE, no está activo, asi que tranquilo que no corres peligro, aunque siempre es aconsejable, como indican flacoroo y claudia34, eliminarlo incluso de allí, por si acaso... :wink:



saludos



ms, 22-10-2008

[San_Medir]

Hola otra vez,

gracias por los consejos. He desactivado Restauarar Sistema, luego he pasado las herramientas en modo a prueba de fallos y no han encontrado nada:



Wed Oct 22 16:14:38 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 428

Nº Total de Ficheros: 6772

Nº de Ficheros Analizados: 203

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 4280

Nº Total de Ficheros: 45322

Nº de Ficheros Analizados: 14832

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 16:21:36 2008

EliStartPage v17.23 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Oct 22 16:21:40 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4280

Nº Total de Ficheros: 45322

Nº de Ficheros Analizados: 13291

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 428

Nº Total de Ficheros: 6772

Nº de Ficheros Analizados: 223

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 16:31:26 2008

EliStartPage v17.23 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4280

Nº Total de Ficheros: 45322

Nº de Ficheros Analizados: 13291

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 428

Nº Total de Ficheros: 6772

Nº de Ficheros Analizados: 223

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ahora reiniciaré y volveré a marcar la casilla de restaurar sistema (aunque jamás he usado esa opción...).

Si encuentro algún problema más, edito esta respuesta. Si todo está correcto, muchas gracias a todos por la ayuda. Saludos.

[msc hotline sat]

Ahora con la restauracion de sistema desactivada, arranca en modo seguro y lanza un escaneo con tu antivirus, que es quien debio eliminarte el troyano activio, pero se dejó este al no poder acceder a la carpeta del RESTORE con la recaturacion de sistema activa.



saludos



ms, 22-10-2008

[San_Medir]

Acabo de pasar el antivirus y tampoco ha encontrado nada. ¿Hay que pasar hijack this o ya es suficiente? ¿Dejo desactivada la restauración de sistema? Total no la uso nunca...

[lucl]

Ponlo si quieres a ver si vemos algo en el log aunque parece que no tienes nada. Y la restauracion del sistema es importante que la tengas activada, tu no la usas pero a tu pc le va bien ... Saludos

[msc hotline sat]

Digamos que siempre es un recurso para volver atras, que de otra forma no lo tienes...



Y eso de que ahora no lo encuentras... Ya estas analizando el segundo disco duro, que es donde lo tenías ???



saludos



ms, 23-10-2008

[San_Medir]

Sí sí, los dos discos duros están analizados y al parecer limpitos y relucientes :D



El log es este:

Logfile of HijackThis v1.99.1

Scan saved at 19:02:33, on 23/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\ATKKBService.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

D:\Programas\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Archivos de programa\OpenOffice.org 2.4\program\quickstart.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Enlaces relacionados - C:\Documents and Settings\San_Medir\Datos de programa\TuneUp Software\TuneUp Utilities\Web\gbacklinks.htm

O8 - Extra context menu item: Traducir la página con Google - C:\Documents and Settings\San_Medir\Datos de programa\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216551120250

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Tomo nota y marco la restauración de sistema, por si las moscas.



Gracias por la ayuda.

[lucl]

El log parece limpio veamos que opina Msc que es mas experto en esto y si esta correcto lo daremos por solucionado, saludos

[San_Medir]

Si, también me gustaría que MSC me diera el vistiplau, aun así creo que está limpio según me dices, esperaremos con tranquilidad :)

[lucl]

Pues subiremos el mensaje para que mañana lo vea, saludos

[msc hotline sat]

Ya, si lo decía lucl... poco puedo añadir mas que, con mucho gusto, el [b][i]VISTIPLAU[/i][/b] !!!!



Damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 25-10-2008

ref spbcn41.4-2.1