Tema: virus java. ist bar...troyano

[fernando]

pues resulta que el nod32 me detecta este dichoso bichito... :x  pero lo mas curioso ejke el the cleaner totalmente actualizado no detecta nada...que me recomendais hacer??
gracias.. :roll:  :roll:

[Danae]

Quieres mirar a ver si tienes este archivo en esta ruta?

c:\windows\system\iexplore.exe

Aclaro, se trata del archivo iexplore.exe, pero en la ruta que te indico, es decir en windows|system


ah!!! otra cosa, tienes tu sistema completamente actualizado?

Saludos

[destroyer]

hola:
 escanea el pc  en modo a prueba de fallos.. dinos el nombre completo del virus que te detecta a ver si localizamos algo sobre él.

un  saludo

[justin]

hola...

pues quizas(no estoy seguro) este anti-troyanos online pueda ayudarte

 http://www.windowsecurity.com/trojanscan

digo quizas, porq como dice destroyer, es mejor con el nombre completo. solo te lo doy porq "parece" un troyano, y se supone q este anti-troyanos los detecta y desactiva. tambien con el panda online puedes hacer un scan   http://www.pandasoftware.es/activescan/es/activescan_principal.htm

un saludo :wink:

[ikun]

IstBar.EP
   Troyano residente en memoria que intenta descargar y grabar en la carpeta del sistema de Windows un DLL específico. También intenta borrar cierta clave del registro, relacionada con el boletín de seguridad de Microsoft MS04-013 (parche acumulativo para Outlook Express), que permite la ejecución de código en forma remota.
 
 >     Win32/TrojanDownloader.IstBar.DV
   Troyano que intenta descargar y ejecutar programas adware en el equipo infectado sin permiso del usuario.
 
 >     Win32/TrojanDownloader.IstBar.EO
   Troyano que intenta descargar y ejecutar programas adware en el equipo infectado sin permiso del usuario.
 
 >     Win32/TrojanDownloader.IstBar.NAA
   Troyano que intenta descargar y ejecutar programas adware en el equipo infectado sin permiso del usuario.
 
 >     Win32/TrojanDownloader.IstBar.NAB
   Troyano que intenta descargar y ejecutar programas adware en el equipo infectado sin permiso del usuario.

Fuente: www.enciclopediavirus.com

Pues por istbar he encontrado to esto pero concreta un poco y te ayudamos a quitarlo,cielo.

Cariño, igual si es un troyano y por lo q he leido por la red infecta archivos que necesitas usar de forma q no puedeseliminar el troyano del todo sin "limpiar" esos archivos. Puedes es solo una idea descargarte el Hijackthis que es un programa qu ete dira los procesos  qu ete pudiera decir el cntrol alt supr pero de forma más especifica. Si quieres postea aqui el log y lo miramos.

http://www.spychecker.com/program/hijackthis.html

 Un beso,Ikun.

[fernando]

vamos por partes....he intentado iniciar windows en modo seguro pero no me deja!! :shock:  dice que habra habido algun camibo en software o hardware hace poco y me parece que no ...asiq no se que puedo hacer para daros mas informacion del troyanito dichoso... :evil:

Danae, me puedes especificar un poco mejor como buso esa ruta?ejke no me alcarado muy bien... :oops:

Ikun, me bajado el hijackthis pero donde o como se publica el log??a tanto no llegan mis super conocimientos...jeje :wink:
gracias a todos!!entre todos mataremos al bichito!! 8)

[ikun]

Hola fernando, una vez descargado escaneas y te saldra un listado con todos los procesos. Como bien te advierte el programa ten cuidado con que eliminas porque puedes borrar archivos que luego sean necesarios. Para ello lo mejor es guardar ese listado de procesos pinchando sobre la teclas de save log abajo a la izquierda.

Despues de guardarlo solo debes copiar el texto y pegarlo aqui. :wink: Así sabremos si el posible troyano se inicia nada más encender el ordenador, aunque me extraña que no puedas encender windows a prueba de fallos :?

Bueno, un besito, y espero haberte ayudado un poquillo.

[fernando]

Logfile of HijackThis v1.97.7
Scan saved at 16:14:08, on 14/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\Explorer.EXE
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\USER\Mis documentos\Programas de Seguridad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Búsqueda de AltaVista - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Traducir - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {4B0999FD-6937-11D5-8FEC-00606779369C} -
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1094988929
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9195FD98-58A1-44FB-AE92-133423471667}: NameServer = 80.58.61.250 80.58.61.254


pues aqui lo tienes ikun!
 :wink:
espero que se entineda...(el antivirus lo he cambiado al karspersky ver.5.0.142) y actualizado pero el no me encuentra el troyano de las...narices..jeje :twisted:
muchas gracias!!

[ikun]

cariño, perdona que no he estado muy rapida pero estoy a tope.Si tienes el windows xp esto te puede servir. asi aprendes un poquillo y puedes seguir ayudando que te veo en la linea :lol:  :lol:  :lol:

http://www.daboweb.com/phpBB2/viewtopic.php?t=4944

[fernando]

juer...os parece normal esto?? el dichoso troyano me es detectado con el nod32...pero con el karspersky ver.5.0.142 o the cleaner no lo detecta...puede ser un fallo de nod32 y no existir el dichoso troyano??alguna sugerencia?? :roll:  :roll: