SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
explorer.exe ha sido modificado (SOLUCIONADO)
Mr_X:
Ok. Asegúrate de iniciar con una cuenta con privilegios de Administrador y hacerlo en Modo seguro... Saca copia de seguridad del registro; (si lo volviste a habilitar) deshabilita el 'Restaurar el sistema'; ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a 'Delete':
--- Código: ---+ {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} c:\windows\system32\4c.tmp
+ 4C c:\windows\system32\4c.tmp
--- Fin del código ---
Vueleve a pasar el Kaspersky y el Spybot S&D...
BATWB:
Hola Mr.X,
he inicado siempre como administrador, con todos los privilegios, y en modo seguro. La copia del registro la tengo a buen recaudo y no he vuelto ha habilitar "Restaurar Sistema".
Ejecuté el Autoruns y borre las entradas que me comentaste y luego pasé, en modo seguro, el Spybot y el Kaspersky con el resultado que no encontraron nada de nada, por ellos estoy limpio.
Pero te cuento, el Spybot continua diciendome que la entrada ha sido eliminada y me pide autorización cada inicio, no será que el TeaTimer de Spybot no deja que se elimine del todo? He detectado que el Hijackthis dice que las ha borrado pero haces una nueva busqueda y las vuelve a encontrar como si no pudiera o se volvieran a cargar, son estas:
"O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp" y la "O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp
Lo que ahora me dice el Kaspersky firewall ha cambiado a lo siguiente pidendo autorizar o bloquear.
" Mensaje saliente conexión TCP
Explorador de windows
Host remoto: 8314974215 (siempre este)
Puerto remoto: 80 (siempre este)
Puerto local: 1031 (es cambiante) "
Espero indicaciones, salu2 :ciego:
Mr_X:
Baja el DelPSGuard y el SmitfraudFix y ejecútalos... Pega aquí el contenido del archivo C:\rapport.txt
BATWB:
Hola, le he pasado los dos en modo normal, aquí te pego el rapport.txt:
SmitFraudFix v2.222
Scan done at 15:56:10,33, 13/09/2007
Run from D:\LAD\SEGURETAT\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TONVER
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TONVER\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de programa
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Mi p gina de inicio actual"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\ARCHIV~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Espero que te sirva.
De momento sigo bloqueando la salida a internet del explorador de windows (me lo pide cada vez que abro las ventanas de windows) y sigo teniendo activo el TeaTimer del Spybot, no?
Salu2 :-?
BATWB:
SOLUCIONADO
Siguiendo la orientación facilitada por Mr.X, el problema estaba en el tal BHO, he mirado por la red y he conseguido acabar con el bicho de los *******!
Voy a poner como lo he solucionado por si alguien le pasara lo mimo y le pudiera ser de utilidad:
1 intentando eliminar el archivo y bloqueando, con el firewall, las conexiones a internet del explorador de windows el Kaspersky me detecto el bicho y le puso nombre, Trojan.Win32.BHO.Fg. Lo tenia alojado en la ruta C:\windows\system32\vista.dll
2Una vez identificado con nombre y apellidos busqué la solución para deshacerme de el, no ha sido fácil.
3 Su método de infección es crear un archivo aleatorio con extension .DLL cuyo nombre se forma a partir de una combinación de varias cadenas de caractéres almacenados. Este archivo aleatorio .DLL se encuentra en el reporte de HijackThis en las entradas 02 y 020:
--- Citar --- "O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp" y la "O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp
--- Fin de la cita ---
4 Pasos para su ELIMINACIÓN:
Apagar "Restaurar sistema"
Descargar los siguientes programas pero no ejecutarlos aun
- SuperAntiSpyware
- DelPSGuard
- VundoFix.exe
- VirtumundoBeGone
Instalar, actualizar y ejecutar-los, uno a uno.
Eliminar todo lo que encuentren.
A mi me ha funcionado de perlas y el Super AntiSpyware ya me hizo saltar al troyano detectandolo un par de veces el Kaspersky y pudiendolo eliminar por completo.
Doy las gracias a la paciencia que ha tenido Mr.X y al tiempo que me ha dedicado ya que sin su inestimable ayuda no hubiera podido acabar con el troyano. :smoke:
Salu2 Mr.X
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa