wenas!!Necesito ayuda porfavor....

Eusebio · Mensaje por **Eusebio** » 04 Oct 2005, 00:37

Wenas soy un poko novatillo y la verda q no se k acer pase un antivirus online (petspatrol) y me reconocio 2 troyanos

1 era ((bearshare tipo p2p)) y el otro ((Backdoor.Win32.Bifrose.d )) pase los 1000 y 1 anrivirus y antiespias creo q e conseguido limpiar el ((Backdoor.Win32.Bifrose.d )) porke vuelvo a pasar el petspatrol y ya no sale pero el otro sigue hay y ya no se q acer tb intento abrir el administrador de tareas y me sale un mensaje d error ((El administrador de tareas ha sido deshabilitador por un administrador)) y yo soy el uniko administrador del pc y entro cm administrador.. aqui dejo un log del Hijackthis por si sirve d ayuda para mi problema espero q alguien m pueda ayudar muchisimas gracias!!!!

Logfile of HijackThis v1.99.1

Scan saved at 0:35:22, on 04/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myagttry.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\cracks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myagttry.exe"

O4 - HKLM\..\Run: [MVS Splash] C:\ARCHIV~1\McAfee\MANAGE~1\VScan\Splash.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "c:\archivos de programa\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://descargaseguridad.telefonica.terra.es/VS2/bin/myCioAgt.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myRmProt3.0.0.597.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McShield - Network Associates, Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **maura63** » 04 Oct 2005, 09:42

Lanza hijackthis, pulsa scan, marcas estas entradas y pulsa FIX, acepta.

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) -

Saludos

maura63

Eusebio · Mensaje por **Eusebio** » 04 Oct 2005, 14:20

Hola gracias por contestar e exo lo k m as dixo ya estan borrados!! pero el problema seguia pase el petspatrol y m salia unas entradas sobre ese troyano BearShare pero eske no se si era parte del emule o si era troyano yo borre algo pero aun sigo tenioendo el mismo problema con el administrador d tareas.

Aun tengo el caballito galopando por hay o eske tndria k acer algo para poder bien eso??? conts xfavor ya no se k acer xDD!!

muchas gracias!!!!

Mensaje por **maura63** » 04 Oct 2005, 15:06

Prueba de pasar esta utilidad

LIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)

Esta aplicación restaura las claves del registro del sistema modificadas por muchos virus que interceptan la ejecución de ejecutables y restringen accesos, incluyendo edición del registro de sistema. Al ser VBS facilita la ejecucion aunque esten interceptados los exe, ademas de no utilizar el regedit por si estuviera restringida su edición.

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

Saludos

maura63

Eusebio · Mensaje por **Eusebio** » 04 Oct 2005, 21:09

Muchisimas gracias Maura63 :wink: eso me ha solucionado el problema del administrtador de tareas :D !!

Pero el virus ese o troyano o lo q sea eso aun esta hay es extrayo porque paso el adware SE , spay-bot, mi antivirus que es el virusscan de telefonica y muchos mas online ,kaspersky,norton,panda,trend micro y ninguno me detecta nada es el Pestpatrol que me reconoce esto

Nombre:Bearshare Tipo: P2P Riesgo: Medio

Categoría

P2P : Cualquier programa de permutación de archivos entre iguales (peer-to-peer) como, por ejemplo, Audiogalaxy, Bearshare, Blubster, E-Mule, Gnucleus, Grokster, Imesh, KaZaa, KaZaa Lite, Limewire, Morpheus, Shareaza, WinMX y Xolox. En una organización, puede degradar el rendimiento de la red y ocupar una gran parte del almacenamiento. Puede crear problemas de seguridad si extraños obtienen acceso a archivos internos. A menudo relacionado con publicidad no deseada o software espía.

Archivos ejecutables:

programfilesdir+\bearshare\bearshare.exe

programfilesdir+\bearshare\installer\bsinstall.exe

bsinstallit.exe

programfilesdir+\bearsh~1\bearsh~1.exe

programfilesdir+\bearshare\installer\bsproinstall.exe

Archivos DLL:

programfilesdir+\bearshare\bsidle.dll

programfilesdir+\bearshare\bearshare.dll

Articulos del registro:

HKEY_CLASSES_ROOT\clsid\{905d0df2-3a0a-4d94-853c-54a12a745905}

HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}

HKEY_CLASSES_ROOT\gnufile

HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}

HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg

HKEY_CURRENT_USER\appevents\schemes\apps\bearshare

HKEY_LOCAL_MACHINE\software\bearshare

HKEY_LOCAL_MACHINE\software\bearshare installdir

HKEY_LOCAL_MACHINE\software\classes\clsid\{558ec983-bedb-9168-b2de-31dbf0ee543e}

HKEY_LOCAL_MACHINE\software\classes\ed2k

HKEY_LOCAL_MACHINE\software\classes\ed2k url protocol

HKEY_LOCAL_MACHINE\software\classes\ed2k\defaulticon

HKEY_LOCAL_MACHINE\software\classes\ed2k\shell\open\command

HKEY_LOCAL_MACHINE\software\classes\ed2k\shell\open\ddeexec

HKEY_LOCAL_MACHINE\software\classes\gnu

HKEY_LOCAL_MACHINE\software\classes\gnu url protocol

HKEY_LOCAL_MACHINE\software\classes\gnu\defaulticon

HKEY_LOCAL_MACHINE\software\classes\gnu\shell\open\command

HKEY_LOCAL_MACHINE\software\classes\gnufile browserflags

HKEY_LOCAL_MACHINE\software\classes\gnufile editflags

HKEY_LOCAL_MACHINE\software\classes\gnufile\shell\open\command

HKEY_LOCAL_MACHINE\software\classes\gnutella

HKEY_LOCAL_MACHINE\software\classes\gnutella url protocol

HKEY_LOCAL_MACHINE\software\classes\gnutella\defaulticon

HKEY_LOCAL_MACHINE\software\classes\gnutella\shell\open\command

HKEY_LOCAL_MACHINE\software\classes\gnutella\shell\open\ddeexec

HKEY_LOCAL_MACHINE\software\licenses {056b3cf0d9ab991e1}

HKEY_LOCAL_MACHINE\software\licenses {i56b3cf0d9ab991e1}

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare ddeapplication

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare ddetopic

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare defaulticon

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare description

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare shellexecute

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare\type urn:bitprint

HKEY_LOCAL_MACHINE\software\magnet\handlers\bearshare\type urn:sha1

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17} componentid

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17} isinstalled

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17} locale

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17} version

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run bearshare

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare displayicon

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare displayname

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare displayversion

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare helplink

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare publisher

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare uninstallstring

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare urlinfoabout

HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg

HKEY_USERS\.default\appevents\schemes\apps\bearshare

Archivos:

bearshare downloads.lnk

bearshare.dat

bearshare.dll

bearshare.exe

bearshare.exe-2a0c795d.pf

bearshare.lnk

bsidle.dll

bsinstall.exe

programfilesdir+\bearsh~1\bearsh~1.exe

programfilesdir+\bearshare\bearshare.dll

programfilesdir+\bearshare\bsidle.dll

programfilesdir+\bearshare\db\config.bin

programfilesdir+\bearshare\freepeers.ini

programfilesdir+\bearshare\html\index.htm

bsinstallit.exe

bsproinstall.exe

bsproinstall.exe-09623c04.pf

config.bin

connect.dat

connect.txt

console.txt

freepeers.ini

glb4.tmp-2f6bfa1a.pf

gnucache.dat

hbcache.dat

history.txt

hostiles.txt

install.log

library.dat

memory.txt

ordinal.txt

commonprograms+\bearshare.lnk

desktopdir+\bearshare downloads.lnk

desktopdir+\bearshare.lnk

programfilesdir+\bearshare\installer\bsproinstall.exe

programfilesdir+\bearshare\webstats.bat

programfilesdir+\bearshare\webstats.ini

programfilesdir+\bearshare\bearshare.exe

programfilesdir+\bearshare\installer\bsinstall.exe

Directorios:

programfilesdir+\bearshare

programfilesdir+\bearshare\db

programfilesdir+\bearshare\extras

programfilesdir+\bearshare\installer

programfilesdir+\bearshare\logs

programfilesdir+\bearshare\playlists

programfilesdir+\bearshare\sounds

programfilesdir+\bearshare\temp

programfilesdir+\bearshare\webstats

No se si sera normal ese archivo al tener el emule instalado , pero lo que si se es que lo borro el archivo del registro

HKEY_LOCAL_MACHINE\software\classes\ed2k

vuelvo a pasar pestpatrol no detecta nada pongo en funcionamiento el emule y me vuelve a detectar el archivo ese toca....!!!Espero que esta explicacion d lo q me sucede sirva para aclarar mi problema .

MUCHISIMAS GRACIAS A TODOS!!!!!

Mensaje por **maura63** » 05 Oct 2005, 09:35

Usar programas P2P no lo aconsejamos en este foro, es del emule, y ya sabes..lo mismo que bajas archivos Güenos :lol: tambien tienes mucha probabilidad de bajar virus.

Saludos

maura63