Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Problema con un Troyano

the_walrus
2009-05-31 08:44 - Respuestas: 4 - Tema nº: 2596905


Windows XP Profesional .

Se me metio en la computadora un troyano llamado Win32/Qhost, y a pesar de que el Nod me lo detecta, no lo elimina y estuve buscando en muchos lugares y no puedo encontrar la solucion adecuada. Por favor si alguien puede ser tan amable de ayudarme le estare muy agradecido.

Posibles soluciones:
Problema con un troyanoProblema con un troyano
Problema con troyanoProblema con troyano
Problema con un troyanoProblema con un troyano
Problema con troyanoProblema con troyano
Problema con troyanoProblema con troyano
marinalope

Re: Problema con un Troyano - 2009-05-31 11:00 - Respuesta 2

Haz esto:
Paso 1: Descarga e instala los siguientes programas:

Spybot
Ccleaner (Manual de uso aquí)
Unlocker.
SUPERAntispyware (Manual de uso aquí)
RegSeeker. (Este último no requiere instalación. Sólo descomprímelo y mueve la carpeta a archivos de programa. Luego puedes crear un acceso directo del ejecutable en el escritorio)
Hijackthis (Manual de uso aquí)

Paso 2: Inicia en modo seguro con funciones de red

Paso 3: Haz una limpieza de archivos temporales con el Ccleaner

Paso 4: Actualiza el Spybot y el SUPERAntispyware

Paso 5: Escanea tu equipo con el Spybot, luego con el SUPERAntispyware, y limpia lo que te encuentren.

Paso 6: Escanea tu equipo con algún antivirus on-line.

Te recomiendo alguno de estos:

Panda antivirus
Computer associates
Trend micro (Para usar éste, necesitas tener instalado el Java)
Bit defender
Nod32

Paso 7: Reinicia nuevamente en modo seguro y escanea nuevamente con el Spybot y limpia lo que encuentre

Paso 8: Haz una limpieza de registro con el Regseeker (Escanea varias veces hasta que ya no quede nada por limpiar)

Paso 9: Reinicia en modo normal.

Paso 10: Abre el hijackthis y le das en donde dice Do a system scan and save a log file.
Te generará un archivo de texto. Copia su contenido y lo pegas aqui para que sea analizado.
the_walrus

Re: Problema con un Troyano - 2009-06-01 08:44 - Respuesta 3

Bueno primero muchas gracias por la respuesta. A primera vista pareciera que el troyano no esta mas, ya que en el nod no me sigue apareciendo, pero la compu sigue fallando en otros aspectos como cuando estaba el "bicho." Por ejemplo no puedo abrir el notepad o tampoco puedo entrar en el msconfig desde ejecutar. A su vez el icono del disco C en Mi Pc, en lugar de tener el dibujito de un disco, tiene el de una carpeta comun. Si por favor tenes idea a que se debe esto, desde ya te estare eternamente agradacido.

A continuacion pego el log

Muchas gracias!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:35:18, on 01/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Common Files\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\regedit\svchost.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\suss.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://repsolnet
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.3.105:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.opessa.com.ar;10.*;68.*;42.*;90.*;36.*;*.gr.repsolypf.com;*.session.rservices.com;*.ypf.com.ar;*.rm.repsol-ypf.com;*.arinso.com;
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ERBHOMasterObject Class - {5A15CA85-DAB9-456c-95ED-06C6E3885C2A} - C:\Program Files\ExitReality\Webspace\System\ExitRealityHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Program Files\IBM fingerprint software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\regedit\svchost.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Visit in &3D using ExitReality - http://3d.exitreality.com/TransmogrifyPage.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://repsolnet
O15 - Trusted Zone: *.repsol-ypf.com
O15 - Trusted Zone: http://*.repsolnet
O15 - Trusted Zone: *.gr.repsolypf.com
O15 - Trusted Zone: http://*.ssatyweb1
O15 - Trusted Zone: *.repsol-ypf.com (HKLM)
O15 - Trusted Zone: http://*.repsolnet (HKLM)
O15 - Trusted Zone: *.gr.repsolypf.com (HKLM)
O15 - Trusted Zone: http://*.ssatyweb1 (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = la.gr.repsolypf.com
O17 - HKLM\Software\..\Telephony: DomainName = la.gr.repsolypf.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = la.gr.repsolypf.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = la.gr.repsolypf.com
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Program Files\Common Files\Virtual Token\vtserver.exe


End of file - 9594 bytes
swissman

Re: Problema con un Troyano - 2009-06-01 21:06 - Respuesta 4

cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.opessa.com.ar;10.*;68.*;42.*;90.*;36.*;*.gr.repsolypf.com;*.session.rservices. com;*.ypf.com.ar;*.rm.repsol-ypf.com;*.arinso.com;
O2 - BHO: ERBHOMasterObject Class - {5A15CA85-DAB9-456c-95ED-06C6E3885C2A} - C:\Program Files\ExitReality\Webspace\System\ExitRealityHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\regedit\svchost.exe
O8 - Extra context menu item: Visit in &3D using ExitReality - http://3d.exitreality.com/TransmogrifyPage.htm

todas las O15 y O17




pulsa fix checked, sin reinciar busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos

C:\WINDOWS\system.exe
C:\WINDOWS\system32\suss.exe

la carpeta siguiente y su contenido
C:\WINDOWS\regedit



pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener

reinicias y nos dices que tal va, pega el log de nuevo
the_walrus

Re: Problema con un Troyano - 2009-06-02 04:55 - Respuesta 5

Bueno hice lo del hijack this, pero no me deja borrar el O4 - HKLM\..\Run: [Svchost] C:\WINDOWS\regedit\svchost.exe. Tampoco puedo borrar ninguno de los siguientes, ni con el killbox ni el unlocker:

C:\WINDOWS\system.exe
C:\WINDOWS\system32\suss.exe

la carpeta siguiente y su contenido
C:\WINDOWS\regedit

Ademas ahora se me sumo un problema. Le pase el avast que te inspecciona desde el registro y me slio un supuesto "bicho", lo borre y ahora cuando quiero abrir el C:, me sale un cartel que dice "La aplicación C:/no se puede ejecutar en modo win32"
Que puedo hacer?? Ayuda por favor!!

Desde ya muchas gracias!
Página:1

Respuestas relacionadas:

Problema con troyanoProblema con troyanoForo
Problema con troyanoProblema con troyanoForo
Problema con troyanoProblema con troyanoForo
Problema con troyanoProblema con troyanoForo
Problema con troyanoProblema con troyanoForo
Problema con troyanoProblema con troyanoForo
Problema con un troyanoProblema con un troyanoForo
Problema con un troyanoProblema con un troyanoForo
[problema] troyano[problema] troyanoForo
Problema con troyanoProblema con troyanoForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024