Ayudaaa !!! Tengo un troyano

Estado
Cerrado para nuevas respuestas

Willy10

Nuevo Miembro
Miembro
#1
Hola a todos

Hace un par de días instalé el Agnitum Outpost Firewall 1.0

Ahora cuando me conecto a internet el firewall me abre una ventanita que dice lo siguiente:

Creada regla por IEXPLORE.EXE

Internet Explorer solicita una conexión de Salida con

Servicio Remoto: troyano.hf.cl

Dirección Remota: TCP: 1101

¿que es eso? tengo un troyano? :confused:

Aparte ahora después de prender la pc, (si apreto Alt+Ctrl+Supr) entre los programas que tengo corriendo veo que me aparece IEXPLORE, que antes no estaba.

agradezco a quien me ayude

:confused:
 

alnitak

Ex-Admin
Miembro
#2
Probablemente hayas visitado algúna web hosteada por esta empresa:

http://troyano.hf.cl/

y al parecer esta solicita conexiones en ese puerto lo cual no es muy normal pero no se que pensar.

Toma un log del HijackThis y postealo aquí para ver si hay algo raro en tu sistema
 

Willy10

Nuevo Miembro
Miembro
#3
gracias alnitak, aquí va mi logo:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 23:33:29, on 13/01/05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AGNITUM SHARED\AUPDATE\AUPDRUN.EXE

C:\DOWNLOADS\PROGRAMAS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [systfls] C:\WINDOWS\SYSTEM\kernell32.exe

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice

O4 - HKLM\..\Run: [tcactive] C:\ARCHIVOS DE PROGRAMA\THE CLEANER\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\ARCHIVOS DE PROGRAMA\THE CLEANER\tcm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"

O4 - HKLM\..\RunServices: [Outpost Firewall] C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\V:)\MSTCP: Domain = adinet.com.uy
;)
 

Willy10

Nuevo Miembro
Miembro
#4
Probablemente hayas visitado algúna web hosteada por esta empresa:

http://troyano.hf.cl/
mmm, esa web no la conocía, pero ahora la estuve viendo y dice por ahí:

Rafael Meruane (Administrador)

Este tipo me pasó un archivo adjunto (iconadd.exe) que según el eran iconos para el messenger y yo inocentemente lo instalé.

Ahora me acabo de enterar que este tipo es un aprendiz de hacker, y esta por todas las webs de hacker con el nombre "rmeruane".

Miren esta web: http://www.indetectablex.tk/

Ahí hacen troyanos indetectables :confused: y este señor (rMn) aparece en el top 100 de los usuarios con más mensajes ahí. Seguramente a mi me metio uno de esos y por eso no lo puedo detectar :confused:

Además de ser el dueño de un hyip scam "sportpointer". Estuve averiguando y a otra persona le quizo meter un troyano.

Y ohh, casualidad, la ip que tenía el cuando entro en un foro era 200.104.39.19

que casualmente ahora pruebo y me lleva a la pagina esa de troyano.hf.cl

bueno espero que no me haya metido nada :rolleyes:
 

alnitak

Ex-Admin
Miembro
#5
Tienes un malware, probablemente un troyano.

Reinicia en modo seguro, revisa esta y dale a fix:

O4 - HKLM\..\Run: [systfls] C:\WINDOWS\SYSTEM\kernell32.exe

Despuéssube ese archivo C:\WINDOWS\SYSTEM\kernell32.exe aquí(le das a seleccionar, selecciona el archivo y lo envias, en seguida lo analizarán y te dirás si es un malware conocido)

http://virusscan.jotti.dhs.org/

PD:

Los que juegan con troyanos no son aprendices de hackers, solo unos pobres idiotas que no tienen ni p...¿ idea de nada y no van mas allá de usar un tonto troyano.
 

Willy10

Nuevo Miembro
Miembro
#6
Ya hice lo del hijackthis, y subi el archivo para analizar y este es el resultado:

File: kernell32.exe

Status: INFECTED/MALWARE

Packers detected: PE_PATCH, PE_PATCH.UPOLYX, UPX



AntiVir No viruses found (0.16 seconds taken)

Avast No viruses found (1.51 seconds taken)

BitDefender No viruses found (0.40 seconds taken)

ClamAV No viruses found (0.37 seconds taken)

Dr.Web BackDoor.Bifrost (0.53 seconds taken)

F-Prot Antivirus No viruses found (0.18 seconds taken)

Kaspersky Anti-Virus No viruses found (0.69 seconds taken)

mks_vir No viruses found (0.22 seconds taken)

NOD32 probably unknown NewHeur_PE (probable variant) (0.40 seconds taken)

Norman Virus Control No viruses found (0.36 seconds taken)



Statistics

Last piece of malware found was not-a-virus:RiskWare.Monitor.Perflogger.al in inst_INST_GUNBOT.rar, detected by:

Scanner Malware name Time taken

AntiVir X 1.07 seconds

Avast X 2.38 seconds

BitDefender X 1.17 seconds

ClamAV X 1.12 seconds

Dr.Web X 1.83 seconds

F-Prot Antivirus X 0.44 seconds

Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.58 seconds

mks_vir X 0.42 seconds

NOD32 X 0.78 seconds

Norman Virus Control X 0.27 seconds



se ve que es como decía en esa pagina de indetectablex.tk que solo el NOD32 lo detectaba y aca el NOD32 poner como que puede ser un virus desconocido.

Y Dr.web decía algo que no se que es.

que hago, elimino ese archivo?
 

alnitak

Ex-Admin
Miembro
#7
Está comprimido para no ser detectado tan fcilmente, je, tipico de estos lamers, eliminalo y cambia inmediatamente todos tus password porque debe haberlas pillado y es posible que las haya enviado al que te lo ha colado usando esa pagina que te salia en el netstat.

PD:

Fijate bien que kasperky si lo detecta,

Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.58 seconds

es casi el unico AV que detecta los comprimidos bien hechos, el dia que antivirus como Panda detecten a uno de estos me hago monje :)D........
 

Willy10

Nuevo Miembro
Miembro
#8
:confused: :confused: :confused: Ya mismo cambio todos mis passwords

Y Mil Gracias Alnitak !!! :confused: :confused:

me has salvado de un posible robo.

te mando un saludo
 
A

Arwing

Guest
#9
Eh Alnitak, sólo lo detectó Dr. Web y NOD32 con la heurística. Lo del resultado del Kaspersky es una estadística del último archivo detectado.

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie