| pepon13 |  |
|
2008-01-28 18:40 - Respuestas: 18 - Tema nº: 2497144
Características: Windows XP Home, Toshiba, Duo centrino, 1 Gb RAM.
Hola. Trataré de dar el máximo de detalles.
Hace unos días (el 24 de enero), buscando "file splitter and joiner", di con la web descargar.mp3.es. Desde entonces, cada media hora aproximadamente, cuando estoy conectado a internet, Norton Internet Security me advierte "Auto-Protect bloqueó Backdoor.Trojan por considerarlo un riesto. El equipo está seguro" y también periódocamente "Analizando mensaje 1 de 1". Los registros del Norton Internet Security eran (sólo unos ejemplos):
28/01/2008 14:28:05,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\WINDOWS\Temp\1582823772.exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
28/01/2008 14:28:05,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\C73R02CJ\mun1_26_11_070[1].exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
28/01/2008 13:39:44,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\WINDOWS\Temp\1272990749.exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
28/01/2008 13:39:44,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\TMLAG3BQ\mun1_26_11_070[1].exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
28/01/2008 13:15:52,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\C73R02CJ\mun1_26_11_070[1].exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
28/01/2008 13:15:52,Auto-Protect,Backdoor.Trojan,Bloqueado,Archivo,N/D,10.2.0.30,SYSTEM,PEPE,"Origen: C:\WINDOWS\Temp\655031398.exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Acción realizada: Bloqueado"
Como veis, cada alerta va asociada a dos archivos:
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\C73R02CJ\mun1_26_11_070[1].exe,
y uno que va cambiando cada vez, aunque siempre en la misma carpeta:
C:\WINDOWS\Temp\1582823772.exe
Al ver esto, desactivé restaurar el sistema, actualicé el antivirus, lo pasé, y no localizó nada. Me puse en contacto por chat con los de symantec, y me dijeron que hiciera lo mismo. Pasé bitdefender online y spybot y no detectaron tampoco nada. Mosqueado, porque las alertas continuaban, volví a contactar con los de symantec, que me dijeron que reinstalara el antivirus.
Así lo hice, pero en la reinstalacion (durante la fase de live update) se produjo el ataque del troyano, comenzando a salir ventanas por todos lados con la alerta "analizando mensaje 1 de 1" y "Error, no se pued eenviar el mensaje a atkinson@lennan.com y otras direcciones). Cuando finalmente el antivirus estuvo actualizado y se reinició, estas ventanas desaparecieron. Pasé el antivirus en modo de prueba de fallos, y localizó y eliminó al Backdoor.Trojan. En concreto el registro fue
26/01/2008 12:25:51,Análisis de virus,Backdoor.Trojan,Quitado por completo,Archivo,2008.01.25.004,10.2.0.30,SYSTEM,PEPE,"Origen: c:\documents and settings\networkservice\configuración local\archivos temporales de internet\content.ie5\tmlag3bq\mun1_26_11_070[1].exe,Categoría de riesgo: Virus,Importancia general del riesgo: Alto,Rendimiento: 1,Privacidad: 1201343532,Acción realizada: Quitado por completo"
No obstante, el comportamiento ante descrito de las alertas sobre bloqueo del Backdoor.Trojan continuaron.
Hoy he pasado otro antivirus online, el Kaspersky, y me ha dado el siguiente registro:
C:\WINDOWS\system32\svchost.exe:exm.exe:$DATA Infectados: Trojan.Win32.Agent.ehi saltado
Sin embargo, en la carpeta system32 sólo está el svchost.exe, y lo he analizado con Norton (también lo he enviado a virus total) y no encuentran nada. También he buscado en varias bases de datos de virus (la de Norton y la de Kaspersdy) y no he encontrado nada sobre el tal Trojan.Win32.Agent.ehi (había otros con otras terminaciones, pero no .ehi)
Esta es la historia. La pregunta es evidente: ¿podríais darme alguna pista para resolver el problema?
Gracias
Comentarios adicionales: El problema surgió justo despues de instalar un programa. | |
|
![Ayuda con backdoor.trojan (mun1_26_11_070[1].exe ) (solucionado)](http://www.configurarequipos.com/imgforos/comment.jpg "Ayuda con backdoor.trojan (mun1_26_11_070[1].exe ) (solucionado)")
