buenas...

lo molesto para ver si me podrian ayudar a eliminar este troyano de mi pc.

Hace un par de semanas pase mi antivirus, el AVG Free Edition, y me encontro este troyano y lo colocó en el "virus vault"... hoy lo pase de nuevo al antivirus y no me encontró nada... pero sigue en el vault y no entiendo bien que significa que este ahi... y si hay alguna manera de eliminarlo totalmente o algunas secuelas que pudo haber dejado...

El troyano se llama syshelp[1].exe

Estaba ubicado en: C:\WINDOWS\Archivos temporales de internet\Content.IE5\4G4ZTPS5\syshelp[1].exe

Tengo Windows 98 se

si me falta algun dato me dicen...

gracias por leer mi mensaje y ojala alguien pueda ayudarme (que no sea el chapulin colorado... )

Parece ser un dropper. Empieza por eliminar los archivos temporales, puedes hacerlo automaticamente con alguna herramienta de limpieza, por ejemplo con el Disk Cleaner que es gratuito.

Despues bájate el HijackThis 1.99.1 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log y cópialo aquí.

GRACIAS POR LA PRONTA RESPUESTA!!

Soy GusPlate... no se porque no me entraba en la otra cuenta y me tuve que hacer una nueva...

hice todo tal cual me dijiste...

el ultimo programa, ni idea para que sirve, pero hice lo que me dijiste y este es el log...

Logfile of HijackThis v1.99.1
Scan saved at 02:51:57 a.m., on 09/12/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB1.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE
C:\HIJACKTHIS[WWW.TRUCOSWINDOWS.NET].EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: load=ptsnoop.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PasteLister] C:\ARCHIVOS DE PROGRAMA\PROGENCY\PASTELISTER\PLISTER.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\ARCHIVOS DE PROGRAMA\AVANT BROWSER\AddToADBlackList.htm
O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\ARCHIVOS DE PROGRAMA\AVANT BROWSER\AddAllToADBlackList.htm
O8 - Extra context menu item: Buscar - C:\ARCHIVOS DE PROGRAMA\AVANT BROWSER\Search.htm
O8 - Extra context menu item: Destacar - C:\ARCHIVOS DE PROGRAMA\AVANT BROWSER\Highlight.htm
O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\ARCHIVOS DE PROGRAMA\AVANT BROWSER\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.0.0.2

ojala que se entienda algo y me puedas ayudar...

gracias y espero nuevas ordenes

Tu sistema parece estar limpio aunque no estoy 100% seguro sobre este proceso que deberías investigar mejor:

C:\WINDOWS\RunDLL.exe

rundll.exe es un archivo legal de Windows 98 tal y como se explica en esta pagina:

http://support.microsoft.com/kb/q164787/

Pero el mismo nombre es utilizado frecuentemente por malwares en otros directorios y en estos momentos no recuerdo si el directorio del archivo legal es C:\WINDOWS\ o C:\WINDOWS\SYSTEM así que averigualo tu.

Debes tener presente que Windows 98 no es un sistema muy seguro que se diga y los droppers se pueden filtrar facilmente en los archivos temporales de Internet durante la navegacion por paginas Webs inseguras (porno, cracks, etc.) usando el Internet Explorer.

Te aconsejo emplear otro navegador para entrar a paginas inseguras, por ejemplo Mozilla Firefox que puedes descarga desde mi firma y es muy recomendable que instales un firewall. Deberás tambien asegurarte que tu Internet Explorer esté al dia con todas las actualizaciones en el caso quieras seguir usandolo.

Para mi está limpio, ejecuta otra vez el AVG luego de realizar lo que te dijo Alnitak.
Nos cuentas...
Salu2
Caito

Muchas gracias!!!

Ahora me pongo a pasar el AVG...

pero me surgió una última duda (perdon por seguir molestando), para que sirven las cookies??? si las elimino a todas puedo tener algun problema??

gracias de nuevo

Las puedes eliminar pero en si no son peligrosas.
Salu2
Caito