| Hitkun |  |
|
2005-01-13 16:35 - Respuestas: 7 - Tema nº: 26249
¡Hola! Tengo un problema, me aparece el troyano o programa Apipw32 (me avisa el Spysweeper). Le paso el Nod32, Spysweeper, Spybot, y no lo elimina. He tenido algún otro problemas con troyanos, y al pasar el HijackThis, eliminando las entradas adecuadas los eliminaba, pero con este no. Este es el informe del HijackThis:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Archivos de programaSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Archivos de programaEsetnod32krn.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32apirg32.exe
C:Archivos de programaJavaj2re1.4.2_06binjusched.exe
C:Archivos de programaEsetnod32kui.exe
C:Archivos de programaWebrootSpy SweeperSpySweeper.exe
C:Archivos de programaSAGEMSAGEM F@st 800-840dslmon.exe
C:Documents and SettingsoscarEscritorioProgramasP2PHazardP2PHazard.exe
C:WINDOWSSystem32wuauclt.exe
C:Archivos de programaBitCometBitComet.exe
C:Archivos de programaInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsoscarEscritorioProgramasHijackThis - browser hijack detector and remover.exe
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
O2 - BHO: (no name) - {1C395BB5-EAC0-004E-6D1B-CC6785CD9DE5} - C:WINDOWSsystem32mfcba.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:archivos de programagooglegoogletoolbar2.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Archivos de programaMSN Toolbar1.01.1629.0esmsntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:archivos de programagooglegoogletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SunJavaUpdateSched] C:Archivos de programaJavaj2re1.4.2_06binjusched.exe
O4 - HKLM..Run: [nod32kui] C:Archivos de programaEsetnod32kui.exe /WAITSERVICE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SmcService] C:ARCHIV~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [apipw32.exe] C:WINDOWSapipw32.exe
O4 - HKCU..Run: [SpySweeper] "C:Archivos de programaWebrootSpy SweeperSpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Archivos de programaArchivos comunesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:Archivos de programaSAGEMSAGEM F@st 800-840dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Archivos de programaMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.c
Tras ir a la página de HijackThis, que analiza el informe,
O2 - BHO: (no name) - {1C395BB5-EAC0-004E-6D1B-CC6785CD9DE5} - C:WINDOWSsystem32mfcba.dll- Esta entrada al eliminarla me cambia de
nombre.
O4 - HKLM..Run: [apipw32.exe] C:WINDOWSapipw32.exe- Lo elimino, pero vuelve a salir.
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
(Estos dos, los intento eliminar, pero no me deja)
También, he probado eliminarlo A MODO PRUEBA ERRORES, pero al vover a modo normal, vuelve a aparecer.
Ya no se que hacer más, saludos y gracias por esta página. | |
|
|
| Hitkun | |
|
Re: S.O.S. Troyano Apipw32 - 2005-01-13 16:46 - Respuesta 2
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:archivos de programagooglegoogletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SunJavaUpdateSched] C:Archivos de programaJavaj2re1.4.2_06binjusched.exe
O4 - HKLM..Run: [nod32kui] C:Archivos de programaEsetnod32kui.exe /WAITSERVICE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SmcService] C:ARCHIV~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [apipw32.exe] C:WINDOWSapipw32.exe
O4 - HKCU..Run: [SpySweeper] "C:Archivos de programaWebrootSpy SweeperSpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Archivos de programaArchivos comunesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:Archivos de programaSAGEMSAGEM F@st 800-840dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Archivos de programaMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab
Analizo el informe con la web de hijackthis, y ....
O2 - BHO: (no name) - {1C395BB5-EAC0-004E-6D1B-CC6785CD9DE5} - C:WINDOWSsystem32mfcba.dll (La elimino, pero me vuelve a aparecer con otro nombre)
O4 - HKLM..Run: [apipw32.exe] C:WINDOWSapipw32.exe (este es el programa sospechoso, también lo elimino, y vuelve a aparecer).
15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
(No me deja ni eliminarlas la primera vez).
También he probado eliminarlo con A MODO PRUEBA DE ERRORES, y tampoco.
Un saludo, y gracias por esta web.
| |
|
|
| tordanxa |  |
|
Re: S.O.S. Troyano Apipw32 - 2005-01-13 18:22 - Respuesta 3
Analiza el log del HIjackThis en esta página a ver que saca | |
|
|
| Hitkun | |
|
Re: S.O.S. Troyano Apipw32 - 2005-01-13 18:30 - Respuesta 4
Ya lo he analizado en esta página, y elimino que me dice (es lo que he comentado en el otro post), pero o no me deja o me vuelve a salir.
Un saludo | |
|
|
| tordanxa | |
|
Re: S.O.S. Troyano Apipw32 - 2005-01-13 18:41 - Respuesta 5
Una vez tuve uno que no podía eliminar ni siquiera finalizando el proceso que generaba.
Lo conseguí, haciéndo exactamente lo que hacia nada más iniciar el ordenador. Puse el HijackThis y se eliminó, supongo que no le dí tiempo a que el proceso se pusiera a correr | |
|
|
|
