TROYANOS

**Tuqui** · 08/12/2005, 13:10

¡¡¡No sé qué hacer!!! El NOD32 me detecta "Win32/Trojandownloader.Delf.QYTroyano, Win32/TrojanClicker.Delf.CN Trroyano, y otros similares" pero no los elimina... Bajé HijackThis sin entender nada y me dió esta lista que no sé cómo utilizar para limpiar el equipo. ¡¡¡Por favor, ayuda!!! Y desde ya MUCHÍSIMAS GRACIAS.

______________________________________

Logfile of HijackThis v1.99.1

Scan saved at 01:30:20 a.m., on 08/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\vsnct511.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\usuario\Mis documentos\Mis archivos recibidos\Foros de Windows y Seguridad Informatica - Recuperar datos borrados_archivos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: KVG.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2D703D2C-E66D-4CEA-84A5-B00512137CA7}: NameServer = 200.45.0.115,200.45.0.116

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

___________________________________

**alnitak** · 08/12/2005, 16:23

Por favor, aclarame si te son conocidos estos procesos que se inician con tu sistema operativo.

C:\WINDOWS\vsnct511.exe

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe

Yo no se de que van pero no sabría decir si son maliciosos o no.

Todo lo demas parece estar bien.

Muchas veces los antivirus no pueden remover archivos maliciosos porque estos se encuentran en uso o porque estan ubicados en la carpeta del restore de Windows y no son accesibles, para eliminar todo el contenido de la carpeta restore, es suficiente desactivar la opcion de restaurar el sistema y volverla a activar.

Como activar/desactivar restaurar el sistema

Así mismo es preferible realizar el escaneo con el antivirus entrando al sistema en modo seguro:

Como reiniciar a prueba de fallos

Te recomiendo tambien que instales alguna herramienta antispyware, porque los troyanos que te reporta tu antivirus son troyanos de descargas que intentrán descargar e instalar otros malwares en tu sistema (probablemente adwares.). Suelen ejecutarse desde los archivos temporales, así que elimina todos los archivos termporales, lo cual puedes hacer por ejemplo con el Disk Cleaner

Puedes encontrar mas informacion sobre el Trojan-Downloader.Win32.Delf.qy bajo el alias de Troj/Dloader-SG en esta pagina:

http://www.sophos.com/virusinfo/anal...dloadersg.html

Ten en cuenta que estos troyanos se te filtran a través de los archivos temporales por navegar en paginas pocos confiables (cracks, porno, etc.) explotando algun bug del navegador (casi siempre el pobre Internet Explorer) por lo tanto te recomiendo emplear algun navegador mas seguro para entrar a paginas dudosas (por ejemplo Mozilla Firefox que puedes descargar desde mi firma o Opera) y no sería mala idea instalar un firewall para impedir que eventuales troyanos logren comunicarse con el Server de pertenencia y recibir instrucciones o descargar otros malwares al sistema.

**Tuqui** · 08/12/2005, 21:22

Gracias por responderme.

Hice las cosas como me decías pero sigue apareciendo el aviso de los Virus sin que se puedan eliminar. Es mas, al analizar nuevamente me aparece lo siguiente: "Se ha detectado infección con Troyano Win32/... en la memoria operativa. NOD32 Sanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria."

Y en cuanto a la pregunta que me hacías no tengo idea de esos dos procesos con que se inicia el Sistema Operativo (C:\WINDOWS\vsnct511.exe

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe). ¡Muchas gracias!

**alnitak** · 08/12/2005, 21:32

Inicio >> ejecutar >> msconfig >> pestaña inicio >> desmarca las casillas relativas a esos 2 procesos >> acepta y reinicia.

Podrás reactivarlos en cualquier momento siempre que resulte que eran legales y servian de algo.

Despues escaneate nuevamente a ver si hay suerte.

**Tuqui** · 08/12/2005, 22:29

¡¡¡Gracias por tu paciencia!!!

Nuevamente hice todo como me lo indicaste y todo sigue igual... El cartelito sigue apareciendo :(

Tal vez esté usando mal el Disk Cleaner

Bueno... espero tu ayuda. ¡¡¡Gracias!!!

**Caito** · 08/12/2005, 22:47

Baja la version trial del Spy Sweeper :

http://www.trucoswindows.net/descargas/spy-sweeper/

Instálalo usando “Standard Install “opción.

Te pedirá una dirección de email .

Se actualizará.

Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”

Marca “Local disc C “ ( o pon el que quieres analizar )

Y en “What to Sweep “ selecciona todas las casillas

Haz clic en “Sweep” y comenzará el scaneo

Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”

En “Results” selecciona “Session Log “, marca “Save to File “

Guarda el reporte (Log) en un lugar conveniente.

Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.

Salu2

Caito

**Tuqui** · 09/12/2005, 05:07

Muchísimas gracias.

Realicé todo conforme me lo indicabas, paso a paso. Al momento de teclear "Remove" me pedía la suscripción, de lo contrario quedaba en ese punto. No tengo manera de adquirirlo por este medio, de todos modos lo que me señalaba eran 22 elementos. Diferencié uno claramente, el primero, que logré ubicar (Documents and Settings\Ad Users\Menú Inicio\Programas\Inicio\KVG.exe) pero a la hora de querer eliminarlo me decía un aviso: "Compruebe que el disco no esté lleno ni protegido contra escritura y que el archivo no está actualmente en uso".

No sé si habrá algún programa que se pueda bajar gratis hasta que subsane este inconveniente.

Gracias CAITO por ocuparte de mi problema, si esto lo arreglamos no te prometo que me hago de River pero si le prendo una vela a la Virgen de Luján por vos. ¡¡¡GRACIAS!!!

Krosty · 09/12/2005, 05:12

El error ese que te sal es porue tenes el programa en uso. Cerra el programa ese y despues elimina lo que tengas que eliminar.

Salu2

TROYANOS

Herramientas

Temas similares

troyanos

TROYANOS

Troyanos

troyanos

troyanos en mi pc

Permisos de publicación