y no es mas facil en virus total

Archivo C:\WINNT\system32\9e3f865.exe infectado por "Trojan-Downloader.Win32.Obfuscated.n" Virus. Acción Tomada: Ninguna Accion fue realizada.

x si acaso.....

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "9e3f865.exe" que VirusTotal ha recibido el día 15.07.2006 a las 06:51:54 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.35.0.21 14.07.2006 TR/Small.ADK
Authentium 4.93.8 14.07.2006 no ha encontrado virus
Avast 4.7.844.0 14.07.2006 Win32:Small-ADK
AVG 386 14.07.2006 no ha encontrado virus
BitDefender 7.2 15.07.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 13.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 14.07.2006 no ha encontrado virus
DrWeb 4.33 15.07.2006 Trojan.DownLoader.based
eTrust-InoculateIT 23.72.69 14.07.2006 no ha encontrado virus
eTrust-Vet 12.6.2297 14.07.2006 Win32/Aleddo!generic
Ewido 4.0 14.07.2006 Downloader.Obfuscated.n
Fortinet 2.77.0.0 15.07.2006 W32/AXI.A!tr.dldr
F-Prot 3.16f 14.07.2006 no ha encontrado virus
F-Prot4 4.2.1.29 14.07.2006 no ha encontrado virus
Ikarus 0.2.65.0 14.07.2006 no ha encontrado virus
Kaspersky 4.0.2.24 15.07.2006 Trojan-Downloader.Win32.Obfuscated.n
McAfee 4807 14.07.2006 Downloader-AXI.gen
Microsoft 1.1508 15.07.2006 no ha encontrado virus
NOD32v2 1.1662 15.07.2006 a variant of Win32/TrojanDownloader.Busky
Norman 5.90.23 14.07.2006 W32/Downloader
Panda 9.0.0.4 14.07.2006 Adware/SystemDoctor
Sophos 4.07.0 14.07.2006 no ha encontrado virus
Symantec 8.0 15.07.2006 Trojan.Zlob
TheHacker 5.9.8.175 13.07.2006 no ha encontrado virus
UNA 1.83 14.07.2006 no ha encontrado virus
VBA32 3.11.0 14.07.2006 no ha encontrado virus
VirusBuster 4.3.7:9 14.07.2006 no ha encontrado virus


Información adicional
Tamaño archivo: 20992 bytes
MD5: e73423c5a04e9f58235dce7c6655ada7
SHA1: 0a979b551689f3963a0c11bf927fa74ba145ed1e
packers: embedded
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 20992 bytes.

[ Changes to filesystem ]
* Creates file loaded.exe.

[ Network services ]
* Looks for an Internet connection.
* Connects to "".
* Sends a request: GET .

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Creates a mutex 9cdb2609.

Ya sabemos eso, lo que ignoramos es qué aplicación lo mantiene "vivo", ya que lo eliminaste y vuelve a aparecer, por eso te indiqué lo del programa en mi post anterior
Salu2
Caito

di si ya le di el resultado del mwav es el que sta antes

Baja este programa :
Autoruns de Sysinternals
http://www.sysinternals.com/Files/Autoruns.zip
descomprime el archivo, doble clic al archivo AUTORUNS.EXE, ve al menú "Options" y marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo en tu próximo post
Salu2
Caito

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ 9e3f865.exe c:\winnt\system32\9e3f865.exe

+ CloneCDTray CloneCD Tray (Not verified) SlySoft, Inc. c:\clonecd\clonecdtray.exe

+ Disc Detector File not found: C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

+ MessengerPlus3 File not found: D:\Stephanie\Mis documentos\Docs\MsgPlus.exe

+ msnappau File not found: C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

+ NeroCheck NeroCheck (Not verified) Ahead Software Gmbh c:\winnt\system32\nerocheck.exe

+ Openwares LiveUpdate Openwares' LiveUpdate (Not verified) Openwares c:\program files\liveupdate\liveupdate.exe

+ PLFFAP HotFix Q0306270 (Not verified) Prolific Technology Inc. c:\winnt\system32\hotfixq0306270.exe

+ Prolific_PLUtil USB Flash Disk Log On Application (Not verified) Prolific Technology Inc. c:\archivos de programa\prolific\usb flash disk utility\plbkmon.exe

+ QuickTime Task File not found: C:\Archivos de programa\QuickTime\qttask.exe

+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\archivos de programa\sygate\spf\smc.exe

+ SunJavaUpdateSched c:\archivos de programa\java\j2re1.4.2_03\bin\jusched.exe

+ Sunkist2k Sunkist (Not verified) Alcor Micro, Corp. c:\archivos de programa\multimedia card reader\shwicon2k.exe

+ TrojanScanner Trojan Scanner (Not verified) Simply Super Software d:\stephanie\mis documentos\docs\trojan remover\trjscan.exe

+ vptray c:\archivos de programa\navnt\vptray.exe

+ WildTangent CDA File not found: C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

C:\Documents and Settings\Stephanie\Menú Inicio\Programas\Inicio

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ 9e3f865.exe c:\documents and settings\stephanie\configuración local\datos de programa\9e3f865.exe

+ ctfmon.exe Cicero Loader (Not verified) Microsoft Corporation c:\winnt\system32\ctfmon.exe

+ Free Download Manager File not found: D:\Stephanie\Mis documentos\Free Download Manager\fdm.exe

+ MessengerPlus3 File not found: D:\Stephanie\Mis documentos\Docs\MsgPlus.exe

+ msnmsgr MSN Messenger (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msnmsgr.exe

+ Nsod File not found: C:\ARCHIV~1\RACLE~1\msconfig.exe

+ Ultimate Defender File not found: C:\Archivos de programa\Ultimate Defender\App.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

+ belarc Belarc VoilaX Control (Not verified) Belarc, Inc. c:\archivos de programa\belarc\advisor\system\bavoilax.dll

+ cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll

+ ms-its51 Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\itss51.dll

+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll

+ msero Microsoft Encarta Researcher (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\msero.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

+ CRLUpdate UPDCRL (Not verified) Microsoft Corporation c:\winnt\system32\updcrl.exe

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ ewido anti-spyware 4.0 ewido anti-spyware guard (Not verified) Anti-Malware Development a.s. d:\stephanie\mis documentos\docs\ewido\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Carpetas Web Microsoft Web Folders (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll

+ iSQL*Plus Servers iSQL*PlusShellExt Module (Not verified) Oracle Corporation c:\winnt\system32\isqlext.dll

+ LDVP Shell Extensions Norton AntiVirus (Not verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ssc\vpshell2.dll

+ Trojan Remover Shell Extension Trojan Remover Shell Extension (Not verified) Simply Super Software d:\stephanie\mis documentos\docs\trojan remover\trshlex.dll

+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll

+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ AcroIEHlprObj Class AcroIEHelper Module (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ Musica c:\dial-libremp37\entrar.html

Task Scheduler

+ AA73B0E792B0202B.job File not found: c:\docume~1\stepha~1\datosd~1\movefu~1\OneBlueSetup.exe

HKLM\System\CurrentControlSet\Services

+ Creative Service for CDROM Access File not found: C:\WINNT\system32\CTSVCCDA.EXE

+ DefWatch Virus Definition Daemon (Not verified) Symantec Corporation c:\archivos de programa\navnt\defwatch.exe

+ ewido anti-spyware 4.0 guard ewido anti-spyware guard (Not verified) Anti-Malware Development a.s. d:\stephanie\mis documentos\docs\ewido\ewido anti-spyware 4.0\guard.exe

+ MDM Manages local and remote debugging for Visual Studio debuggers (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe

+ Norton AntiVirus Server c:\archivos de programa\navnt\rtvscan.exe

+ OracleMTSRecoveryService Oracle MTS Recovery Service (Not verified) Oracle Corporation d:\oracle\ora92\bin\omtsreco.exe

+ OracleOraHome92Agent Oracle Intelligent Agent Executable (Not verified) Oracle Corporation d:\oracle\ora92\bin\agntsrvc.exe

+ OracleOraHome92HTTPServer d:\oracle\ora92\apache\apache\apache.exe

+ OracleOraHome92TNSListener d:\oracle\ora92\bin\tnslsnr.exe

+ OracleServiceBASES Oracle RDBMS Kernel Executable (Not verified) Oracle Corporation d:\oracle\ora92\bin\oracle.exe

+ PLFlash DeviceIoControl Service PLFlash DeviceIoControl Service (Not verified) Prolific Technology Inc. c:\winnt\system32\ioctlsvc.exe

+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\archivos de programa\sygate\spf\smc.exe

+ SR_Service SecureClient Service (Not verified) Check Point Software Technologies c:\archivos de programa\checkpoint\securemote\bin\sr_service.exe

+ SR_WatchDog (Not verified) Check Point Software Technologies c:\archivos de programa\checkpoint\securemote\bin\sr_watchdog.exe

HKLM\System\CurrentControlSet\Services

+ AmosNT AmosNT driver (Not verified) Conexant c:\winnt\system32\drivers\amosnt.sys

+ BANTExt c:\winnt\system32\drivers\bantext.sys

+ basic2 NTRksample driver (Not verified) Conexant c:\winnt\system32\drivers\basic2.sys

+ ElbyCDFL ElbyCDIO Filter Driver (Not verified) SlySoft, Inc. c:\winnt\system32\drivers\elbycdfl.sys

+ ElbyCDIO ElbyCD Windows NT/2000/XP I/O driver (Not verified) Elaborate Bytes AG c:\winnt\system32\drivers\elbycdio.sys

+ ewido anti-spyware 4.0 driver d:\stephanie\mis documentos\docs\ewido\ewido anti-spyware 4.0\guard.sys

+ Fallback Fallback driver (Not verified) Conexant c:\winnt\system32\drivers\fallback.sys

+ Fsks FSKsNT driver (Not verified) Conexant c:\winnt\system32\drivers\fsksnt.sys

+ FW1 (Not verified) Check Point Software Technologies c:\winnt\system32\drivers\fw.sys

+ GMSIPCI File not found: F:\INSTALL\GMSIPCI.SYS

+ K56 K56NT driver (Not verified) Conexant c:\winnt\system32\drivers\k56nt.sys

+ NAVAP c:\archivos de programa\navnt\navap.sys

+ NAVAPEL c:\archivos de programa\navnt\navapel.sys

+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060710.036\naveng.sys

+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060710.036\navex15.sys

+ OMVA VPN-1 SecureClient Adapter (Not verified) Check Point Software Technologies c:\winnt\system32\drivers\omva.sys

+ PD016BLK Still Image (bulk) device driver (Not verified) Creative Technology Ltd. c:\winnt\system32\drivers\pd016blk.sys

+ PD016VID Video Streaming device driver (Not verified) Creative Technology Ltd. c:\winnt\system32\drivers\pd016vid.sys

+ PLFF Prolific Flash Disk Filter Driver (Not verified) Prolific Technology Inc. c:\winnt\system32\drivers\plff.sys

+ Rksample Rksample WDM driver (Not verified) Conexant c:\winnt\system32\drivers\rksample.sys

+ Scap (Not verified) Check Point Software Technologies c:\winnt\system32\drivers\scap.sys

+ ScFBPNT3 c:\winnt\system32\drivers\scfbpnt3.sys

+ SecDrv Macrovision SECURITY Driver (Not verified) Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. c:\winnt\system32\drivers\secdrv.sys

+ SoftFax FaxNT driver (Not verified) Conexant c:\winnt\system32\drivers\faxnt.sys

+ SONYPVM1 Sony Memory Stick Disk Driver (Not verified) Sony Corporation c:\winnt\system32\drivers\sonypvm1.sys

+ SONYPVU1 Sony USB Lower Filter driver (Not verified) Sony Corporation c:\winnt\system32\drivers\sonypvu1.sys

+ SpeakerPhone SpkpNT driver (Not verified) Conexant c:\winnt\system32\drivers\spkpnt.sys

+ sunkfilt92 SunkFilt (Not verified) Alcor Micro Corp. c:\winnt\system32\drivers\sunkfilt92.sys

+ SymEvent Symantec Event Library (Not verified) Symantec Corporation c:\archivos de programa\symantec\symevent.sys

+ Teefer Teefer Driver (Not verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\teefer.sys

+ Tones TonesNT driver (Not verified) Conexant c:\winnt\system32\drivers\tonesnt.sys

+ V124 V124NT driver (Not verified) Conexant c:\winnt\system32\drivers\v124nt.sys

+ viafilter VIA USB Filter Driver (Not verified) VIA Technologies, Inc. c:\winnt\system32\drivers\viausb.sys

+ VPN-1 (Not verified) Check Point Software Technologies c:\winnt\system32\drivers\vpn.sys

+ wg3n wgxn (Verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\wg3n.sys

+ wg4n wgxn (Verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\wg4n.sys

+ wg5n wgxn (Verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\wg5n.sys

+ wg6n wgxn (Verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\wg6n.sys

+ winachsf WinACHSF driver (Not verified) Conexant c:\winnt\system32\drivers\winachsf.sys

+ wpsdrvnt wpsdrvnt (Not verified) Sygate Technologies, Inc. c:\winnt\system32\drivers\wpsdrvnt.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ ckpNotify (Not verified) Check Point Software Technologies c:\winnt\system32\ckpnotify.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

Haz una copia de seguridad del registro (te recomiendo el ERUNT), deshabilita el “Restaurar el sistema” (botón derecho a ‘Mi PC’-->Propiedades-->Restaurar el sistema-->marca “Deshabilitar el restaurar el sistema en todas las unidades”), reinicia en Modo seguro.

http://erunt.softonic.com/ie/37784

Ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a “Delete”:

+ 9e3f865.exe c:\winnt\system32\9e3f865.exe

+ TrojanScanner Trojan Scanner (Not verified) Simply Super Software d:\stephanie\mis documentos\docs\trojan remover\trjscan.exe

+ 9e3f865.exe c:\documents and settings\stephanie\configuración local\datos de programa\9e3f865.exe

+ Ultimate Defender File not found: C:\Archivos de programa\Ultimate Defender\App.exe

+ Trojan Remover Shell Extension Trojan Remover Shell Extension (Not verified) Simply Super Software d:\stephanie\mis documentos\docs\trojan remover\trshlex.dll


Cierra Autoruns, busca y elimina estas carpetas o archivos si estan:

C:\Archivos de programa\Ultimate Defender

D:\stephanie\mis documentos\docs\trojan remover


Busca este archivo y lo mandas analizar a VIRUSTOTAL


( OneBlueSetup.exe )

Lanza Ewido (Guarda el Report) reinicia.

Pega el Analisis, el Report del Ewido y un nuevo log de HijackThis.

Un Saludo

Mensaje modificado por 171278 el Jul 16 2006, 03:12 AM

como k haga una copia de seguridad del registro

Aqui te dejo el programa con el parche del IDIOMA:
http://www.larshederer.homepage.t-online.d...nt-loc_esla.zip

Y aqui el tutorial:
http://www.hispanicoweb.net/index.htm

Un Saludo

pero signifik k c pued perder informacion de la compu o carpetas o o que sea

y no encontre eltutorial @.@

Haber...........
Te mando hacer una copia del registro por precaucion, (como a todos) nada mas.
Las lineas que te he mandado eliminar son las mismas, salvo los Anti-SpyWares que son de los no seguros.

Un Saludo y si crees que no te vas a equivocar al borrar lo que te indico, no hagas el respaldo del registro.

Sorry x durar tanto en postear pero sq ya entre al cole y ya no estoy de vaga

y una pregunta: que tenia de malo el Trojan Remover mas bien me habia eliminando varios gusanillos?

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 12:04:10 a.m. 20/07/2006

+ Scan result:



Nothing found.



::Report end