ALto Lio!!!! detecte 24 troyanos .. help

[guillermus]

BUeno tengo una pc con win 2000 Pro..



Ayer le pase el NOd32 , el spyBot y el AdwareSE, en Modo seguro y encontre unos 24 troyanos entre ellos: agent.ay , pawur.b , trojandropperdownload.samal.fl , swizzor , dyfica.ch , wintrim.ah , ple.be , magicon.o , optix.pro.f , etc. No pude pásar ningun ANtivirus Online, ya q en Modo seguro con Funciones de Red no puedo ya q Tengo Adsl por USB.



Bueno, ademas le instale el OutPost. Despues de esto les mando el Hackthis a ver si me quedo alguna Basura.. espero q me puedan ayudar:





Logfile of HijackThis v1.98.2

Scan saved at 08:25:45 p.m., on 05/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\ARCHIV~1\AGNITUM\OUTPOS~1.0\outpost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\antivirus\hijackthis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/es/AccesMembre.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C23870A-B4CB-4AEE-805D-375B9C935101}: NameServer = 200.42.12.227 200.42.0.108

O17 - HKLM\System\CS1\Services\Tcpip\..\{3C23870A-B4CB-4AEE-805D-375B9C935101}: NameServer = 200.42.12.227 200.42.0.108







graciasss

[cañera]

https://foros.zonavirus.com/viewtopic.php?t=4085

el pawur no es ningun trojano,es un virus que te elimina archivos.

En ese link que te dejo al principio puedes ver como eliminarlo y recuperar lo que te haya eliminado.

he mirado el hijackthis por encima y no se ve nada fuera de lo normal,tu pagina de inicio es about-blank?

cuentanos como te fue.

[caito]

Arranca en Modo seguro con Restaurar sistema deshabilitado.

Lanza el Hijack y dale a Fix a estas :



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/es/AccesMembre.cab

Elimina Archivos Temp. de Internet,contenido carpeta Temp,cookies,historial,etc,vacía la Papelera.

Ejecuta el adAware se actualizado.

Reinicia Normal y manda un nuevo log.

-----------------------------------------------------------

De estas no encuentro info :( tienes como ISP Fibertel ? )



O17 - HKLM\System\CCS\Services\Tcpip\..\{3C23870A-B4CB-4AEE-805D-375B9C935101}: NameServer = 200.42.12.227 200.42.0.108

O17 - HKLM\System\CS1\Services\Tcpip\..\{3C23870A-B4CB-4AEE-805D-375B9C935101}: NameServer = 200.42.12.227 200.42.0.108

Por ahora déjalas y luego veremos.

Salu2

Caito

[guillermus]

bueno muchachos..



caito elimine lo q me dijiste ;) .. creo q esta todo bien, A proposito del Firewall q me recomendaste el OutPost.. cual es el proceso q tengo q autorizar para q ande la conexxion compartida,.. por q cuando tengo el firewall no anda.. y le pongo desactivar firewall y ahi si tienen internet el resto d elas maquinas..



COn respecto al Pawur.. Use el Files Recovery para recuperar los archivos.. pero hay 3 archivos q encima son los mas importantes, q aunque en el FR me dicen q el estado esta BIEN, en vez de pobre... cuando los recupero y los quiero abrir, me dice algo de que pUEDEN SER DE soLO LECTURA.. Como los podria abrir??.. CUando yo los recupero con el programa,... no elijo Fat, elijo NOne para recuperarlos..



Bueno esas son las 3 cositas..,



Gracias

[guillermus]

hola muchachos... les pido encarecidamente q me respondan las preghuntas del post anterior..



y aca les dejo el Hijackthis, despues de hacer lo q me dijo caito.. q se me habia olvidado...

aqui esta el log:



Logfile of HijackThis v1.98.2

Scan saved at 09:01:00 a.m., on 06/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\ARCHIV~1\AGNITUM\OUTPOS~1.0\outpost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\antivirus\hijackthis\HijackThis.exe



O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

[caito]

Para mí está limpio :)

Por lo del Outpost mira este tutorial :

http://www.ayuda-internet.net/indexframe.html

Salu2

Caito

[guillermus]

gracias muchachos..



y con respecto a la recuperacion de archivos con el File Recovery.. alguien me puede dar una manopla?

[guillermus]

por favor estoy hasta las manos perdi archivos importantes... el q recomendo el files recovery... el archivo el programa dice q el archivo esta bien,, lo recupero y cuando lo abro. me dice q puede q lo este usando en solo lectura... le cambie todo desde propiedades y no hay caso.. alguna solucion?