Tema: POSSIBLE_ZLOB (SOLUCIONADO)

[171278]

Cuando acaba el escaneo del AVG, elije la opcion eliminar o cuarentena y despues guarda el report (En el que pegaste no eliminas nada)

Descargate LSPFix (No lo ejecutes)

http://cexx.org/LSPFix.exe

Desactiva la opcion de Restaurar sistema
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos    
Reinicia en Modo Seguro   (Desconectate fisicamente de internet) 
Ejecuta el HijackThis y da click en el boton "Do a system scan only"     
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":   

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101

Cierra el hijackthis, busca estos archivos o carpetas y eliminalos:

C:\ARCHIV~1\Aveo

Acontinuacion, lanza AVG (Guarda el report)

Reinicia y activa restaurar el sistema, si no tuvieras conexion lanza LSPFix, lo lanzas y cliqueas solo Finish (nada más )

Si continuaras sin conexion, te vas a:

Inicio-> Panel de Control-> Conexiones de red-> Clic derecho a tu conexión-> Propiedades-> Protocolo Internet (TCP/IP)-> Propiedades

Una vez ahí deberás saber si la dirección del servidor DNS la obtienes automáticamente o manualmente (esto depende de tu proveedor).

Si la obtienes automáticamente, simplemente deberás marcar "Obtener la dirección del servidor DNS automáticamente"

En caso de que sea manual, deberás marcar "Usar las siguientes direcciones del servidor DNS" y ahí deberás poner las DNS de tu proveedor.
Si no lo solucionas ejecuta este programa:
WinSock XP Fix 1.2
http://www.majorgeeks.com/download4372.html

Pega el report del AVG y un nuevo log.

Un Saludo

[buforn]

Hola muchas gracias por el interés tomado, tengo dudas:
1- ¿Qué significa Fix checked?
2- Cuando pasé el AVG Spyware, me salían unos troyanos y programs espía y al lado cuarentena o eliminar, no hacía nada cuando me posicionaba sobre las acciones y por eso me posicioné sobre realizar todas las actuaciones, creyendo que sería el equivalente a eliminar, bueno volveré y si no encuentro la opción eliminar os lo preguntaré.
3- Con obtener dirección del servidor DNS automático o manual te refieres a la dirección IP de mi equipo

[171278]

1- ¿Qué significa Fix checked?

Significa Eliminar y te lo pone en el programa.

2- Cuando pasé el AVG Spyware, me salían unos troyanos y programs espía y al lado cuarentena o eliminar, no hacía nada cuando me posicionaba sobre las acciones y por eso me posicioné sobre realizar todas las actuaciones, creyendo que sería el equivalente a eliminar, bueno volveré y si no encuentro la opción eliminar os lo preguntaré.

OK

3- Con obtener dirección del servidor DNS automático o manual te refieres a la dirección IP de mi equipo

Si y no, la DNS tiene realicion con la IP, pero es el servidor de tu proveedor de Red.
Tal y como te lo explique no deberias tener problemas, ademas esa opcion la vas a ver tildada o no y asi sabras que tienes.

Un Saludo

[buforn]

1ª report del AVG:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   18:40:08 18/12/2006

 + Resultado del análisis:   



C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\..\Cookies\..@atdmt[2].txt -> TrackingCookie.Atdmt : Limpios.
C:\Documents and Settings\..\Cookies\..@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpios.
C:\Documents and Settings\..\Cookies\..@fastclick[2].txt -> TrackingCookie.Fastclick : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Fastclick : Limpios.
C:\Documents and Settings\..\Cookies\..@findwhat[1].txt -> TrackingCookie.Findwhat : Limpios.
C:\Documents and Settings\..\Cookies\..@goclick[2].txt -> TrackingCookie.Goclick : Limpios.
C:\Documents and Settings\..\Cookies\..@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpios.
C:\Documents and Settings\..\Cookies\..@questionmarket[1].txt -> TrackingCookie.Questionmarket : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Reliablestats : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][2].txt -> TrackingCookie.Ru4 : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\..\Cookies\..@serving-sys[2].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Limpios.


::Fin del informe

2ª report del AVG una vez eliminados los archivos y carpetas indicadas:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   20:00:04 18/12/2006

 + Resultado del análisis:   



C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : No se realizó ninguna acción.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : No se realizó ninguna acción.


::Fin del informe

3º un nuevo log y he sacado un report del AVG, a lo mejor no es lo que quereis??:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   20:00:04 18/12/2006

 + Resultado del análisis:   



C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : No se realizó ninguna acción.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : No se realizó ninguna acción.


::Fin del informe

             

[171278]

En los reports del AVG no eliminas nada y no pegaste el log de HijackThis.

Un Saludo

[buforn]

Hola:

Una vez más gracias por vuestra atención y ayuda:

1º-Report del AVG:
---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   20:45:39 20/12/2006

 + Resultado del análisis:   



C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : Limpios.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : Limpios.


::Fin del informe


2º log del HijackThis-Escaneo
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\ARCHIV~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://--.--.--.--/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://--.--.--.--/officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://-.-.-.--/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129816593718
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = ---.---.-.-,-.--.-.-
O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = -.-.-.-,-.-.--.--
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

Saludos y Felices fiestas.

[171278]

Tu log esta limpio,comenta como funciona ahora.

Un Saludo

[buforn]

Hola
Muchas gracias, funciona muy bien y no se ha vuelto a detectar el troyano.
Muchísimas gracias
Saludos, FELIZ AÑO
SOLUCIONADO

[Danae]

Gracias por comentarlo, damos el tema por solucionado