Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Trojan.downloader.IstBar.Nau

hhappy
2005-04-27 12:59 - Respuestas: 20 - Tema nº: 32624


Buenos días:
En mi pc tengo xp sp2. Llevo 4 dias intentado eliminar el troyano arriba indicado y no hay forma.
He pasado en modo seguro los siguientes programas:microsoft antispyware, spybot, ad-aware, cwshredder, regsekker, etc etc, tengo instalado el nod32 y el zone alarm. También he borrado con killbox dos ficheros .dll que correspondian al troyano. El nod me detecta ese troyano y aunque lo soluciona vuelve a aparecer cada vez que reinicio. Me ha cambiado la pagina de inicio y me redirecciona siempre a http://81.222.131.49/index.php. Tambien me ha quitado mi fondo de escritorio y no soy capaz de reconfigurarlo. Aunque acabe de pasar todos los programas arriba indicados y me figure como limpio todo, al entrar a internet nod me envia un aviso que dice, virus detectado, ARCHIVO g:\documents and settings\ruben\configuracion local\archivos temporales...\index[1].htm, VIRUSrobablemente modificado unknown infection tipe (application) win32/adware.cws.gen COMENTARIO: amon no puede limpiar esta infeccion.Suceso ocurrido al intentar acceder al archivo.
Intento con la opcion eliminar y me dice que no es posible.
¿Como puedo solucionar este problema? Gracias por adelantado y perdonad la extension del mensaje pero queria ponerlo todo para daros pistas.
Posibles soluciones:
Trojan.downloader.istbar.nauTrojan.downloader.istbar.nau
Hurricane

Re: Trojan.downloader.IstBar.Nau - 2005-04-27 13:09 - Respuesta 2

Inicia tu PC en Modo Seguro y pásale el NOD32 actualizado.

También pásale el HijackThis y el LOG lo posteas por acá.

Saludos

HURRICANE


[ Este mensaje fué editado por: Hurricane el 27-04-2005 a las 13:13]
hhappy

Re: Trojan.downloader.IstBar.Nau - 2005-04-27 13:28 - Respuesta 3

Acabo de realizarlo y ahi te va. Al reiniciar ahora el Pc me sale un aviso del Antispyware de Microsoft que me dice Name: Spyware BHO.sasetup
Type: Browser Plug-in

Logfile of HijackThis v1.99.1
Scan saved at 13:19:43, on 27/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Internet Explorer\iexplore.exe
C:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\archivos de programa\utilidades\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - G:\WINDOWS\sasetup.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - G:\WINDOWS\drexinit.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [msnappau] "G:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] G:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "G:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\antiSpyware microsoft\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] G:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105461618828
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFD04C8-877A-477B-9687-6C2EE1357ECD}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFD04C8-877A-477B-9687-6C2EE1357ECD}: NameServer = 195.235.113.3,195.235.96.90
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - G:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - G:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe

Espero que sea esto lo que necesitas. Gracias
Hurricane

Re: Trojan.downloader.IstBar.Nau - 2005-04-27 16:36 - Respuesta 4

Inicia tu PC en Modo Seguro, haz nuevamente el chequeo con el HijackThis y marca las siguientes entradas:O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - G:WINDOWSsasetup.dllO2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - G:WINDOWSdrexinit.dllO3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)O4 - HKCU..Run: [Microsoft Update] wuampd.exeO15 - Trusted Zone: http://ny.contentmatch.net (HKLM)O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
Clickea sobre FIX, sale del programa y reinicia tu PC en Modo Normal.

Cuéntanos las novedades. Saludos

HURRICANE

hhappy

Re: Trojan.downloader.IstBar.Nau - 2005-04-27 21:08 - Respuesta 5

He hecho lo que me dijiste. Resultado: el mismo,
osea, al reiniciar me sigue saliendo el mismo mensaje del nod respecto al index[1]htm, me sigue redireccionando a la misma direccion y el escritorio tambien sigue igual. Al principio del log de hijackths salen varias lineas con la web a la que me redirecciona, tengo que fijarlas tambien?. He vuelto a pasar el nod y me dice:
Ha ocurrido un error mientras se analizaba la memoria operativa.La memoria operativa no puede ser analizada (ha ocurrido un error mientras se cargaba el archivo nod32m1.vxd o durante la comunicacion con el servicio de analisis)
g:\iberfil.sys error al abrir archivo. Archivo bloqueado [[4]]
g:\pagefile.sys error al abrir archivo. Archivo bloqueado [[4]]
y añade notas:[[4]] el archivo no puede ser abierto. Esta siendo usado en exclusividad por otro programa.
No me salen mas indicaciones de virus ni ningun otro comentario.
Ambos ficheros me pone que se han creado,modificado y usado hoy a la misma hora (cuando encendi el ordenador). Figuran como archivos de sistema y no puedo borrarlos.
Intente borrarlos con el killbox y me dice: Pending file rename operations registry data has been removed by external process.
Le he pasado tambien el antispyware microsoft y solo me salen unas signatures del edonkey y overnet que el propio programa ignora .
Te vuelvo a enviar un nuevo log de hijack despues de hacer todo eso. Mira las lineas del principio con la direccion a la que me redirecciona, tengo que hacer algo ahi? Gracias
Página:1 Siguiente
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos27 Diciembre 2024