Autor Tema: Ayuda con troyanos (SOLUCIONADO)  (Leído 8401 veces)

Desconectado yuki_tequila

  • Junior Member
  • **
  • Mensajes: 20
Ayuda con troyanos (SOLUCIONADO)
« en: 29 de Agosto de 2006, 03:20:42 am »
hola que tal, resulta que tengo varios archivos que me dice que son troyanos en cuarentena, pero al tratar de eliminarlos no los encuentro en las carpetas que me indica que estan, uso el PC-cillin y el spy bot search and destroyd aqui estan los nombres:

logon.exe
23100247.exe
iinstall.exe
eied_s7.cab
aboxinst_int15.exe
timed.exe
volumec.exe

Ya se ya se diran que que onda peor esque yo me fui de vacas y los amigos de mi hermano usaron como quicieron y no cuidaron muy bien el equipo por eso ahora estoy aqui espero me puedan ayudar

Aqui les dejo el log de HijackThis si encuentran algo malo para eliminarlo y a ver si puedo ahora si eliminar esos archivos




Logfile of HijackThis v1.99.1
Scan saved at 08:04:11 p.m., on 28/08/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Propietario\Mis documentos\Mi música\Mariachi contrataca\Archivos\Programs\Hija\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe                                                                                                    "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://raverdjin-yuki.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/mex_ver34_35.CAB
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe


Desconectado 171278

  • Pro Member
  • ****
  • Mensajes: 522
  • Experto En HijackThis
    • Comunidad Windows Vista
Re: Ayuda con troyanos
« Respuesta #1 en: 29 de Agosto de 2006, 05:38:21 am »
Desactiva la opcion de Restaurar Sistema     
Asegura que tu sistema Muestre los archivos y carpetas ocultos     
Reinicia en Modo Seguro  (Desconectate fisicamente de internet) 
Mete hijackthis descomprimido, en una carpeta propia, en la unidad C:   
Ejecuta el HijackThis y da click en el boton "Do a system scan only"     
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":


F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/mex_ver34_35.CAB

Limpia la papelera y Cookies con CCleaner, ademas del registro. http://www.filehippo.com/download_ccleaner/ 
Lanza Ewido(Actualizalo) 
http://www.ewido.net/en/download/


Ademas ejecuta esta aplicacion, que esta al final de la pagina (Le das a todo que si)     
     
http://www.zonavirus.com/datos/descargas/78/EliStarA.asp     
   
Cuando acabe lanza tu antivirus y elimina todo lo que encuentre     
     
Pega un nuevo log de Hijackthis, ademas del report del Ewido (Elimina los archivos en quarentena)   
 
Un Saludo.   

Espera que un Moderador de el visto bueno, ya que no estoy muy seguro de quien puede postear en los Log.

IMPRESCINDILES:  AVG-ANTISPYWAREREGSEEKER

Desconectado Liamngls

  • Administrator
  • *
  • Mensajes: 15688
    • Manuales-e
Re: Ayuda con troyanos
« Respuesta #2 en: 29 de Agosto de 2006, 09:30:18 am »
Espera que un Moderador de el visto bueno, ya que no estoy muy seguro de quien puede postear en los Log.

No hay problema, todas las aportaciones son bien recibidas  ;-)

Las instrucciones las veo bien aunque tampoco es que entienda mucho del tema, si acaso añadir que dentro de lo posible sería conveniente actualizar al SP2 para una mayor seguridad del sistema, esto una vez que esté el problema solucionado, claro y repito, si es posible hacerlo, si no nada :)

Desconectado yuki_tequila

  • Junior Member
  • **
  • Mensajes: 20
Re: Ayuda con troyanos
« Respuesta #3 en: 29 de Agosto de 2006, 06:36:18 pm »
ya pude eliminar los archivos y ya esta limpio gracias por su ayuda, aqui esta el otro log:

Logfile of HijackThis v1.99.1
Scan saved at 09:47:08 a.m., on 29/08/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Propietario\Mis documentos\Mi música\Mariachi contrataca\Archivos\Programs\Hija\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://raverdjin-yuki.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe


Desconectado 171278

  • Pro Member
  • ****
  • Mensajes: 522
  • Experto En HijackThis
    • Comunidad Windows Vista
Re: Ayuda con troyanos
« Respuesta #4 en: 30 de Agosto de 2006, 08:32:46 am »
Tu log esta limpio ¿Como funciona ahora?
Pero debes de actualizar a Service Pack 2, si no quieres andar infectado siempre.

Un Saludo.
IMPRESCINDILES:  AVG-ANTISPYWAREREGSEEKER

Desconectado yuki_tequila

  • Junior Member
  • **
  • Mensajes: 20
Re: Ayuda con troyanos
« Respuesta #5 en: 30 de Agosto de 2006, 06:42:36 pm »
Ahora funciona ya muy bien gracias por la ayuda y eso del service pack 2 si he pensado en eso pero necesito un poco mas de memoria, ademas que me pide hacer una copia de seguridad del sistema y no se como hacerla, creo que necesito un asistente y no lo tengo

Desconectado 171278

  • Pro Member
  • ****
  • Mensajes: 522
  • Experto En HijackThis
    • Comunidad Windows Vista
Re: Ayuda con troyanos
« Respuesta #6 en: 30 de Agosto de 2006, 06:54:35 pm »
Chequea este link:

AQUI


Un Saludo.
IMPRESCINDILES:  AVG-ANTISPYWAREREGSEEKER

Desconectado yuki_tequila

  • Junior Member
  • **
  • Mensajes: 20
Re: Ayuda con troyanos
« Respuesta #7 en: 31 de Agosto de 2006, 01:09:45 am »
Gracias por la información y por la ayuda

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15864
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: Ayuda con troyanos
« Respuesta #8 en: 31 de Agosto de 2006, 01:11:29 am »

Gracias por comentarlo...   Damos el tema por solucionado.

un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License