ayuda, por favor

Pues me ha llegado algo (un troyano al parecer) de lo que no me lorgo deshacer... me ha bloqueado el mac affe, no me deja entrar al task manager, ni al registro de windows, ni ejecutar msconfig, y al tratar de removerlo con el panda scan online siempre regresa (y no me puedo deshacer de sus efectos). Al reiniciar el equipo, por más que lo borre, siempre vuelve a C: un file llamado svchost.exe...Parece ser una variable de un troyano llamado Qhost.gen

en fin... aqui va el log



Logfile of HijackThis v1.99.0

Scan saved at 18:48:53, on 02-06-2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Tablet.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\System32\Lientjeuh.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\PERSONAL\Configuración local\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mi.cl/

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [MS Manager326 Startup] manager326.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [http://www.lienvandekelder.be] Lientjeuh.exe

O4 - HKLM\..\RunServices: [MS Manager326 Startup] manager326.exe

O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] Lientjeuh.exe

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MS Manager326 Startup] manager326.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.app...llInstaller.exe

O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab

O23 - Service: Administrador AVSync - Networks Associates Technologies, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: McShield - Unknown - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe







Espero me puedan ayudar...

Debes desactivar el Tea Timer del SpyBot antes de seguir las indicaciones (luego lo puedes volver a habilitar ):

Tea timer

http://integra.terra.com.sv/integra/corpor...o/11spyware.htm

En inglés :

* Open Spybot.

* Click MODE, then check ADVANCED MODE, click YES

* Click TOOLS in bottom lefthand corner.

* Click on SYSTEM STARTUP.

* Uncheck Teatimer.

* Click ALLOW CHANGE.

* We will enable Teatimer after your system is clean.

Hecho esto , sigue así :



Imprime o copia estas indicaciones!!!



Si no sabes cómo hacer algunos de los procedimientos mira esto:

http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html





Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack



Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Y el AdAware Se 1.06 :

http://fileforum.betanews.com/download/Ada...nal/965718306/1

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

manager326.exe

Lientjeuh.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:



C:\WINDOWS\System32\Lientjeuh.exe

O4 - HKLM\..\Run: [MS Manager326 Startup] manager326.exe

O4 - HKLM\..\Run: [http://www.lienvandekelder.be] Lientjeuh.exe

O4 - HKLM\..\RunServices: [MS Manager326 Startup] manager326.exe

O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] Lientjeuh.exe

O4 - HKCU\..\Run: [MS Manager326 Startup] manager326.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.in...lInstaller.exe

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINDOWS\System32\Lientjeuh.exe

manager326.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 31/05/05

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

Pues aqui va el nuevo log (eso sí, no encontré por ningún lado al hacer los procedimientos anteriores un .exe llamado manager326.exe ... weird)



Logfile of HijackThis v1.99.0

Scan saved at 17:16:03, on 03-06-2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\Tablet.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\rob\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mi.cl/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409

O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab

O23 - Service: Administrador AVSync - Networks Associates Technologies, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: McShield - Unknown - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Lo veo limpio, cómo va todo ?

Salu2

Caito

Ya parece estar todo en orden, el antivirus al día y nada me bloquea de entrar al task manager y etc n______n



MUCHAS GRACIAS Caito por la ayuda, en serio. Se me alegró el día con esto, y más por saber que existe este foro donde me pueden ayudar con estas cosas.

Me alegro que te haya servido

Salu2

Caito