Creo que tengo un troyano. (TERMINADO)

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 19:01

:( Hola, tengo un problema grandisimo en mi ordenador.

Se me han cambiado todas las carpetas de mi ordenador, no puedo abrir ninguna,se me han puesto todas con extension .lnk,

no puedo abrir ni el msconfig, ni el regedit, solo puedo abrir internet, y un par de cosas más. con un antivirus online me salia que tenia esto: w32/trojan swizzor, y un monton de cosas raras, me he bajado el programa vuestro para poder mandaros un log con lo que me pasa, pero como luego no lo puedo abrir, pues no puedo hacer nada. No puedo abrir el antivirus en modo a prueba de fallos, ni puedo abrir internet con simbolo de red, que puedo hacer, por favor ayudarme. :cry:

Mensaje por **msc hotline sat** » 25 Oct 2005, 19:25

Pues con el buscador del foro hubiera encontrado este Tema, ya solucionado, con el mismo problema:

https://foros.zonavirus.com/viewtopic.php?t=8097&highlight=lnk

Vea de seguir los pasos indicados, postee el lph del HJT, y tratarenos de ayudarle

saludos

ms, 25-10-2005

PD-

Y dinos: ¿Usas programas P2P? -Kazaa, Imesh, emule...

Tienes instalado el DAP (Download acelerator)

Si es asi, desinstalalos desde Agregar o Quitar Programas ...

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 19:35

:) Lo siento, solo puse a buscar lo del swizzor, no me di cuenta de que a lo mejor poniendo o otro me hubiera salido, voy a leerlo enseguida, de todas maneras, no puedo abrir el programa para pasaros el log, pero con el antivirus online que teneis me ha puesto esto:

Incidencia Estado Elemento

Adware:Adware/Lop No desinfectado C:\Archivos de programa\Adverts\uninst.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\nuria\Mis documentos\programas\new_uninstall.exe

Adware:Adware/Lop No desinfectado C:\RECYCLER\S-1-5-21-1409082233-1326574676-725345543-1003\Dc3\uninst.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP34\A0018070.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000116.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000117.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000118.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000119.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000120.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000122.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP4\A0000123.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0000738.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0001671.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0001672.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0001673.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0001674.exe

Adware:Adware/Lop No desinfectado C:\System Volume Information\_restore{04C1FAFA-3ED1-4A3B-B3C3-DC1ECAF959FD}\RP8\A0001675.exe

Me acabo de leer el post, y voy a hacer lo del cd de windows reparar, y ya os cuento, gracias por contestarme, Nurya.

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 19:37

Perdón, si que tengo el emule, y el speeder. voy a quitarlos inmediatamente. Gracias.

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 19:39

:( No me deja abrir lo de quitar o agregar programas. :cry:

Mensaje por **msc hotline sat** » 25 Oct 2005, 19:40

Espera un momento !!!

Boy a subir una nueva version del ELISTARA que podrñas bajar y probar en 10 minutos, pero de momento baja la actual y ejecutala, para lo del swizzor o Adware LOP que es lo mismo

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Si reparas, correcto, pero prueba el ELISTARA...

saludos

ms, 25-10-2005

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 19:47

:( Siento molestarte tanto, pero no puedo abrir nada del cd de windows, se me abre el menu con las opciones, pero no me deja hacer mas, le dpy con el raton y nada, y con el elistara, me sale una ventanita chiquitina, cuando le doy a descargar, pero n o me deja maximizar y no me lo puedo descargar. :(

Mensaje por **maura63** » 25 Oct 2005, 19:54

Registrate en http://www.zonavirus.com con el mismo nick y paswoord que usas aqui para poderte descargar la utilidad.

Al abrir la pagina, arriba a la derecha en panel de control.

Saludos

maura63

Mensaje por **msc hotline sat** » 25 Oct 2005, 20:01

Hemos subido la version 10.49 del ELISTARA:EDE

Bajala en otro ordenador a disquete y traelo a este, y desde el disquete marcas el icono con el boton de la derecha y le das a abrir, que esi utiliza otro metodo de ejecucion de ficheros

Veamos si asi puedes lanzarlo

saludos

ms, 25-10-2005

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 21:11

:( me he registrado, y sigo igual, cuando le doy a descargar me sale el cuadro de la descarga en un cuadrado pequeñito, y no me deja maximizarlo, lo siento chicos, no se por que es. Voy a preparar la cena y luego me pondre a ver si lo puedo hacer, hasta luego y gracias por ayudarme. :)

Mensaje por **flacoroo** » 25 Oct 2005, 21:42

si no lo puedes hacer en tu casa ...usa otra compu los bajas y los copias en un diskette o memoria usb...y enciendes tu compu en modo seguro y ahi corres dichos programas....

nos dices como te fue......

Nurya · Mensaje por **Nurya** » 25 Oct 2005, 23:38

:) Muy bien, gracias, mañana el trabajo lo copiare a un disket y luego lo pasare al mio, ya os cuento mañana, ah! y gracias :wink:

Nurya · Mensaje por **Nurya** » 26 Oct 2005, 22:29

:( Nada, no hay manera, me he bajado el programa desde otro ordenador, en el otro se ve bien el programa, pero en el mio, no,cuando le doy al boton derecho para abrir no me sale la funcion de abrir, no me deja abrirlo tampoco, que hago ahora?

Mensaje por **msc hotline sat** » 26 Oct 2005, 22:45

Pues tal como lo veo, habrñas de colocar este disco duro como esclavp en otro ordenador con NTFS y desde el disquete o desde el otro disco duro ejecutar el ELISTARA que controla el SWIZZOR (antes Adware Lop) sobre la unidad afectada, y asi eliminar esta infeccion.

Otra cosa es que algo o alguien, pero no nos consta qie haya sido este adware, haya modificado las claves de registro de forma que o pueda abrir ficheros, y que con el ELIRESTR, que corrige lo que hacen los virus al respecto, no las restaure ???

Lo que se ha hecho desde que has pedido ayuda ha sido en el buen camino, pero muy raro, pues el ONLINE lo pudiste ejecutar y en cambio el ELISTARA desde dosqiete dices qie no ??? O no probaste de ejecutarlo con doble clock sobre el icono, o sea normalmente ? So fuera e caso, ahorrate el insstlarlo en otro equipo y lanzalo desde el disquete, claro.

Y una vez eliminado el virus, si dentro de las carpetas solo tienes .lnk, renombra uno que concozcas como el clock por clock.exe u prueba si funciona, porque si asi fuera ya temdriamos un camino

Pero vayamos por partes y elimina el virus.

saludos

ms, 26-10-2005

Nurya · Mensaje por **Nurya** » 26 Oct 2005, 23:01

Hola, que tal todos?

si que le doy dos veces para abrirlo, lo intento desde el disket, lo he intentado pasandolo al ordenador y nada, cuando le doy dos veces, se pone un poco mas claro pero no se abre, y cuando le doy a boton derecho no me sale la opcion de abrir, ademas el dibujo de la carpeta me sale como todos los que tengo que no me funcionan bien, me acabo de pasar un trojan online, que teneis y me sale ahora esto:

que tengo un malware: en windows, se llama riskware, aqui cada vez me sale algo nuevo, voy a hacer coleccion de bichos :? y lo de colocar este disco duro como esclavo en otro ordenador, no lo puedo hacer, pues no sabria como hacerlo, ni a quien pedirselo, gracias otra vez.

Nurya · Mensaje por **Nurya** » 27 Oct 2005, 19:48

:D tengo una gran noticia, lo he conseguido, de momento vamos, me he metido en modo a prueba de fallos con simbolo de sistema, como recomendabais en otro post, y he podido lanzar el elistara, tambien he pasado otro programa que aconsejabais en ese mismo post, el elirestr, y tambien me ha ido bien, ya me puedo descargar cosas, puedo meterme en el regedit tambien, las carpetas me siguen saliendo en .lnk, pero me voy a seguir leyendo otros post a ver que hago ahora, ya os cuento.

Mensaje por **msc hotline sat** » 27 Oct 2005, 20:05

ohhhh! que bien eh? LO CELEBRO !!!

Bueno, la cuestion es que al haber podido ekecutar el ELIRESTR has restaurado las claves de interceptacion de los ejecutables y si así ya puedes ejecutarlos...

Y con el ELISTARA habrá eliminado el SWIZZOR

Ahora mira si puedes lanzar ru antivirus, arrancando en modo seguro t deshabilitando la restauracion de sistema y bos informas al respecto

saludos

ms, 27-10-2005

Nurya · Mensaje por **Nurya** » 27 Oct 2005, 20:05

:) Hola de nuevo, he podido bajarme tambien y pasar el hijack, y me ha puesto esto:

Logfile of HijackThis v1.99.1

Scan saved at 20:01:20, on 27/10/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\nuria\CONFIG~1\Temp\Rar$EX00.563\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O16 - DPF: Proyec - http://www.kalgan.net/Recoletos.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myv3/myv3.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128848914170

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

que tengo que hacer ahora, o lo tengo que postear esto en otro sitio? espero vuestra respuesta, chao y gracias.

Mensaje por **msc hotline sat** » 27 Oct 2005, 20:17

Que bien poder volver a trabajar eh?

Lanza de nuevo el HJT, matca estas claves y eliminalas con FIX

Luego rematalo arrancando en modo seguro y lanzando el antivirus

y si ya todo va bien, felicidades !!!

saludos

ms, 27-10-2005

Nurya · Mensaje por **Nurya** » 27 Oct 2005, 22:32

:D si, estoy muy contenta de empezar a ver que todo va funcionando, acabo de pasar tambien el spywot, y ahora voy a pasar el adware, he vuelto a pasar el hijack, pero no se que tengo que eliminar y como hacerlo, donde lo puedo mirar?

Mensaje por **msc hotline sat** » 28 Oct 2005, 06:55

Posteanos el log del HJT actual y te lo diremos, y cuentanos lo que te detecte el AD-AWARE, gracias

saludos

ms, 28-10-2005

Nurya · Mensaje por **Nurya** » 30 Oct 2005, 23:39

:( Me ha tocado formatear el ordenador enterito, cuando estaba casi arreglado, mi hijo se metio en el msn y a partir de ese momento, el dice que sin hacer nada de nada, empezo a no funcionar a hacerme cosas raras, y no me dejaba conectarme a internet ni poder hacer nada, me ha costado hasta incluso formatear, ahora ya parece que va bien, lo he perdido todo, pero en fin..., estoy instalando todo otra vez, ya tengo el antivirus, un cortafuegos, que antes no tenia, lo unico que hace un ruido raro el ordenador, como un pip,pip, cuando se inicia windows, y de vez en cuando lo suelta, no se a que se debera esto, bueno, gracias de todas formas, y voy a seguir mirando todo lo que le tengo que poner al ordenador siguiendo los consejos que dais en los foros. :)

Mensaje por **msc hotline sat** » 31 Oct 2005, 06:57

Pues pudo no tener la culpa tu hijo, sino que el disco duro se esté degradando, ya que lo del pip, pip no es nada normal ni deseable.

Mira si no es del altavoz, por algun programa que no tendría mayor importancia, sino del hardware de la mñaquina, especiualmente del disco duro, y si es asi, manten siempre al día un backup de la informacion ya que posiblemente tenga un problema...

En tal caso, mejor sustituyelo

Y ya formateado, muerto el perro se acabo la rabia, procedemos a cerrar el Tema

saludos

ms, 31-10-2005

Nota: Si tienes alguna consulta al repecto de lo del pip-pip, abre un nuevo Tema en problemas de hardware o de software, segun veas que procede. ms.