Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: kike en 08 de Agosto de 2005, 10:52:53 am
-
Holaaaa!
Un saludo a toda la peña.
Hace bastante tiempo que no podía casi ni sentarme a escribir un post de saludo. Pero bien que después de una enfermedad bien joia y una convalecencia larga ya voy recuperando mi habitual estado trasnochador. Como sé que ni se acuerdan de mi pues yo soy kike (remember foros de adelaflor). Bien pero paso a comentar el problema, dado que no encuentro solución por estos lados:
Hace unos días en medio de la navegación normal, caí en una web warez e inmediatamente mi McAfee llenó la pantalla de avisos sobre virus y alimañas que venían como un ejército. Me calmé y me desconecté, luego borré (Delete) cada una de las entradas en los múltiples cuadritos de McAfee. Desde ese día y de manera aleatoria me sale una advertencia de McAfee sobre el Spy-Agent.i, que parece estar vinculado al fichero ntdll.dll del sistema, pues es normal que después del aviso del antivirus, el IExplorer se cierre con el avisito de que "se ha encontrado un error..." y el módulo vinculado al error es ntdll.dll.
También me sale una advertencia de seguridad del "firewall de windows" diciendo que el pc está en riesgo y que siga algunas instrucciones. No lo he hecho porque mi sistema está en español y el aviso sale en inglés (me parece sospechoso) y yo no uso el firewall de windows (luego no tiene porque activarse), al cerrar ese globito me sale una advertencia (cuadro con X roja) que dice que hay actividad espia intentando robar información de mi pc (lo cierro sin más porque tembien está en inglés) e inmediatamente el firewall me avisa que "hh.exe" quiere conectarse a internet... también lo niego y ahí para todo...(?)
La pregunta es: McAfee lo clasifica como troyano y está actualizado, por qué no lo elimina de una vez? o existe otro problema subyacente?
Os cuento que ya he superado todo lo referente al modo seguro con el sistema, es decir, tengo McAfee 7.03 pro actualizado, Ad-aware SE 1.06 actualizado, Spybot S&D actualizado, Uso zone Alarm 4.5, The Cleaner 4.1 actualizado, Trojan remover 6.4.2 actualizado. Por otro lado tengo el CCtask (que aunque es un programa viejo y se supone que no trabaja en XP, si lo hace y bien que lo hace mostrando todos los procesos activos y los subprocesos que dependen de ellos).
Las últimas "contrataciones" fueron ElistarA y HijackThis v1.99.1, además del parche WindowsXP-KB896358-x86-ESN.exe (para reparar una vulnerabilidad de hh.exe)
Todo ese arsenal lo he disparado desde todos los flancos, en todas las modalidades de modo seguro y por supuesto sobre el sistema en modo normal.
Ni manualemente he podido encontrar y menos erradicar el joio troyano. nada más escribiendo este post me ha salido tres veces el avisito (similar al globito que pone el servidor de seguridad del sistema en la bandeja de tareas... el troyano se relaciona con un archivo etéreo llamado RDSNDIN.EXE y digo que etéreo porque jamás lo he hallado, McAfee lo detecta y avisa pero no puede borrarlo porque no se encuentra en ningún lado... También averugüé que el troyano es del bando de los key-loggers y naturalmente eso me pone nervioso.
También intenta aprovecharse de la utilidad de conguracíón IP (ipconfig.exe) y del HTML para conectarse aparte de hh.exe, pero claro el firewall lo detiene siempre.
Bueno, como lo dije, necesito opciones, amigos. díganme que pueden echarme un cable, sí?
Bien me disculpan la extensión del post pero quiero ser explícito para poder hallar una solución precisa.
Saludos,
kike
P.P.:intentaré agregar unas capturas de los avisos mencionados en otro post.
-
Hola Kike:
¿Cuanto tiempo? :D
En relación a tu problema poco puedo aportar, si has revisadocon varios programas como indicas y con antivirus online, sería interesante que posteases el log del hijackthis en esta cadena, por ver si a traves de él, fats o algun compañero pueden encontrar una solucion.
Un saludo amigo
-
Desctiva restaurar sistema, abre el administrador de tareas y busca estos archivos y si puedes cierras el proceso, si no, intenta a modo prueba de fallos.
backdoor.agent.l.exe
f5ac2742.exe
cuando hayas logrado cerrarlos, bórralos del pc, reinicia y pasa de nuevo antivirus, si está todo correcto, activa de nuevo restaurar sistema.
Por cierto, el antitroyano a2, que puedes bajarlo de aquí: http://www.emsisoft.org/es/software/download/ (hay una versión free que funciona igual que la de pago) lo tiene en su base de datos.
Saludos y dinos como va
Por cierto, bienvenido de nuevo
-
stas son las capturas de los avisos que salen a cada rato:
(http://lauramonsalve.org/otrasimages/avisotroyano1.jpg)
(http://www.lauramonsalve.org/otrasimages/avisotroyano2.jpg)
:shock: UUPS!... se me olvidó como insertar imágenes, echame una mano con las imágenes, dest, please. :oops:
Bueno Danae, mucho te agradezco pero la cosa se resolvió al enésimo intento y mediante el trabajo en equipo del software:
Naturalmente antes se desactivó restaurar sistema... obvio.
apagué el pc. Al reencender, puse modo seguro y en modo seguro corrí el ElistarA. Luego al The Cleaner le activé el TCmonitor y el TCActive porque el monitor poddría decirme en un momento determinado si ocurría algún cambio raro en el registro. Abrí el Msconfig y desmarqué las entradas:
hclean32.exe=C:\Windows\System32\hclean32.exe
yaemu.exe=C:\Windows\System32\yaemu.exe
dmceu.exe=C:\Windows\System32\dmceu.exe
Pero ojo, no reinicié, abrí el total commander (para visualizar y localizar rápido cualquier cosa) y localicé esos archivos en le ruta que daba el msconfig pero no se dejaban borrar, entonces Ctrl+Alt+Del para sacar el Administrador de tareas y en los procesos vi activo el IExplore entonces finalicé el proceso. Despues sí se dejaron borrar los dos primeros archivos (el dmceu.exe no se dejaba. A la vez le di a escanear el disco c: con The Cleaner y al mismo tiempo con el antivirus.
Sucedieron dos cosas, una que por fin apareció el famoso RDSNDIN.EXE (que no se dejaba ver) y pude eliminarlo con el antivirus, tamaño 4.608 bytes. La segunda cosa no fue tan amable, el archivo dmceu.exe volvía a meterse en el inicio y por más que lo sacara al minuto se metía de nuevo. Me relajé y dejé actuar al The Cleaner y al McAfee. Esa tarea tardó casi 6 horas (!!).
Terminado todo eso reinicié de nuevo en modo seguro y al revisar encontré de nuevo al dmceu.exe dentro del grupo de inicio (HKLM/software/microsoft/windows/current version/run...) en tonces lo eliminé por el registro.
Revisé con el total commander y vi un archivito pequeño y raro: csunr.exe, lo borré e inmediatamente reinicié en modo seguro como siempre. Como aun el dmceu no se dejaba quitar del grupo de inicio, entonces al no encontrar más a sus compañeros, reinicié por cd-rom con el ultimate boot cd y usando el Volkov Commander navegué hasta el dmceu.exe y lo borré.
Luego de toda esa faena reinicié en modo normal y... ¡voila! no quedaba rastro del bicho.
Asunto resuelto.
Reconozco que en mucho tiempo ningún animaléjo me había dado tanto trabajo. También reconozco que la faena fue poco ortodoxa, :shock: pero con paciencia salí del embrollo. Lo otro es decir que antes de embarcarse en esta labor hay que poder ver los archivos ocultos y de sistema.
Sobre los otros achivos que menciona Danae pues ni rastro, esos no existían en este caso, ojo que la similitud de nombres se presta a confusiones y termina uno buscando lo que no es donde no está.
Por cierto gracias a los dos por responder y por el saludo, claro.
Saludos,
kike
p.D.:Espero que entre el trabajo y los acreedores me dejen un tiempito para venir al foro más frecuentemente, veo muchas cosas nuevas por acá....
-
Hola:
Me alegro que lo solucionases amigo, y gracias por indicar el procedimiento. A ver si encuentras ese tiempo para pasarte por aqui.. ;)
Un saludo
-
Como siempre, tenías razón dest. Mira arriba, que ya puse las capturas en su sitio.
Espero que el resultado de esta lucha le sirva a alguien.
Saludos.
-
Ok kike.. elimino las que puse.. ;)
Un saludo amigo