Taipan.438 y Burglar.1150

Estado
Cerrado para nuevas respuestas

Lidia64

Nuevo Miembro
Miembro
#1
Hola a todos, vereis hace muy pocos días he formateado con sistema operativo Windows XP booteable, a continuación instale el parche sps que tenia en un disco de cd y también instalé el antivirus Norton Systemworks, todo me iba bien hasta que de repente me han aparecido estos virus que no hay manera de quitarlos. Sabe alguien si existe algúna solución para cargarmelos o tengo que formatear de nuevo? Muchas gracias. Estaré esperando noticias de algún alma caritativa que me pueda decir algo. Hasta pronto.
 

alnitak

Ex-Admin
Miembro
#2
Por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a Scan, después a Save log, salva el log y cópialo aquí.

Tema movido al foro se seguridad
 

Lidia64

Nuevo Miembro
Miembro
#3
Muchas gracias Alnitak, no sé si lo he hecho bien, he seguido tus indicaciones y si no me equivoco esto que te pongo aquí es lo que creo que me dices que ponga, si no fuere así me lo dices vale? Otra vez muchas gracias.

Logfile of HijackThis v1.98.2

Scan saved at 14:26:02, on 23/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\spoolsv.exe

F:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

F:\Archivos de programa\Norton Personal Firewall\NISUM.EXE

F:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

F:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

F:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

F:\WINDOWS\system32\ctfmon.exe

F:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

F:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

F:\ARCHIV~1\INCRED~1\bin\IMApp.exe

F:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe

F:\ARCHIV~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

F:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

F:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

F:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

F:\WINDOWS\system32\nvsvc32.exe

F:\WINDOWS\system32\pctspk.exe

F:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

F:\WINDOWS\System32\svchost.exe

F:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

F:\ARCHIV~1\INCRED~1\bin\IncMail.exe

F:\Archivos de programa\Internet Explorer\iexplore.exe

D:\PROGRAMAS\PROGRAMA EMULE\emulev0.44b-MorphXTv5.6-bin\emule\emule.exe

F:\Archivos de programa\Messenger\msmsgs.exe

F:\Documents and Settings\Ana Clara\Mis documentos\reparador\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - F:\ARCHIV~1\ZEROPO~1\HTMLEdit.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "F:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "F:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] F:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IncrediMail] F:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\system32\msjava.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - F:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - F:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
 

alnitak

Ex-Admin
Miembro
#4
No pareces estar infectada, no veo ningún proceso sospechoso.

Norton remueve el Burglar.1150

http://securityresponse.symantec.com/avcen...rglar.1150.html

Intenta escanearte después de haber entrado al sistema en modo seguro:

Como reiniciar a prueba de fallos

y lo debería remover completamente.

El Taipan.438 es un dropper, osea un troyano que te va bajando mas porquería desde internet, pero tampoco parece estar activo, tienes una descripcion de sus caracteristicas y archivos aquí:

http://www.pestpatrol.com/pestinfo/t/tai-pan_438_a.asp

Lo unico que tienes que hacer es remover, si existen estos 2 archivos.

anseereq.exe

taip438.exe

Tambien deberias limpiar los archivos temporales donde se suelen esconder estos bichitos, puedes hacerlo con Disk Cleaner

Despuésde instalarlo marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.
 

Lidia64

Nuevo Miembro
Miembro
#5
Hola Alnitak:

En primer lugar te agradezco mucho tu atención contestandomé y procurando solucionar el problema que tengo. He hecho todo lo que me has indicado, bueno al menos espero haber podido seguir tus instrucciones al pie de la letra, aunque al escanear me vuelven a salir los intrusos, lo que no he entendido es cuando dices:

Lo unico que tienes que hacer es remover, si existen estos 2 archivos.

anseereq.exe

taip438.exe

igual es que tengo que hacer algo o se remueven solos, eso no lo entiendo. También instalé el Disk Cleaner, pues no lo conocia, limpié las casillas que me indicastes, pero dude en hacerlo con las demás, ya que no sabia si lo podría hacer, lo que observé cuando se le da al clean es que no desaparecen, te sale un mensaje diciendo que se queda en 0 bytes. Siento haberme extendido tanto, pero así creo que entenderas un poco mejor mis resultados. Muchas gracias por todo.
 

alnitak

Ex-Admin
Miembro
#6
Inicio >> buscar >> busca esos 2 archivos

Si los encuantras entonces los eliminas, puede haber mas de una copia.

Si no se dejan eliminar por las buenas intentalo con el mismo hijackthis dandole a la pestaña Config >> misc tools >> delete a file on reboot >> selecciona los archivos a borrar en el reinicio (uno a la vez)>> reinicia.

Es posible que existan mas copias de esos archivos.

Si los archivos se encuentran en la carpeta de sistema (system32) puede ser necesario desactivar la opción de restaurar el sistema antes de removerlos para que el mismo XP no los restaure confundiendolos con archivos de sistema.

Como activar/desactivar restaurar el sistema

Muchos antivirus no pueden remover malwares ubicados en la carpeta de sistema sin antes desactivar la opción de restauracion, Norton es uno que no lo logra casi nunca. Mejores resultados tendría con el antivirus Kaspersky que suele remover absolutamente todo.
 

Lidia64

Nuevo Miembro
Miembro
#7
Otra vez yo, que pesada que soy verdad?

Estoy intentando hacer lo que me dices, lo de inicio/buscar ya lo hice y no salen los archivos, hago también lo del Hijackthis y cuando llego a seleccionarlos, no sé dónde buscarlos, porque no estan, no se si es así como lo tengo que hacer. Será que al no aparecer es cuando tengo que desactivar lo de la restauración? Te agradecería si me lo pudieras aclarar, dandote como siempre mil gracias por tu ayuda.
 

alnitak

Ex-Admin
Miembro
#8
Si dispones de un punto de restauracion anterior a la aparicion de los virus, restaura el sistema a ese punto. Si no dispones de un punto de restauracion, desactiva la opción de restaurar el sistema y después escaneate con tu antivirus
 

Lidia64

Nuevo Miembro
Miembro
#9
No hay manera de eliminarlos, hice lo que me dijistes, no logré encontrar un punto para poder restaurar el sistema, pero si desactive la opción y a continuación escaneé. Si instalo el Kaspersky y desinstalo el Norton me los cargaria? Perdona por las molestias que te estoy dando, y que sepas que te estoy muy agradecida por todo. Gracias.
 

alnitak

Ex-Admin
Miembro
#10
No es ninguna molestia, estos foros existen para ayudarnos.

Kaspersky es el mejor antivirus que exista. Si Kaspersky no remueve algo, entonces ningún antivirus lo remueve. Pero es un poco extraño que Norton lo detecte y no lo remueva ya que por el simple hecho de detectarlo queda demostrado que lo tiene en su base de datos y lo debería limpiar entrando al sistema en modo seguro o desactivando la restauracion del sistema.

En verdad no se que decirte, si fuera mi sistema desinstalaría Norton y lo cambiaría por kaspersky, eso es exactamente lo he hecho yo hace mas de un año y jamas he vuelto a tener problemas con droppers que antes se me llegaban a colar en los archivos temporales al navegar a veces desde el IExplorer en paginas de warez, pero el sistema es tuyo y ya la decision es tuya, yo imagino que en algúna parte de tu registro debe estar algúna entrada que lo activa, pero si dices que los archivos no están entonces y lamentandolo mucho me quedo sin ideas.
 

Lidia64

Nuevo Miembro
Miembro
#11
Pues muchas gracias Alnitak, leyendoté acabo de decidir lo que debo de hacer. Creo que la solución es desinstalar el Norton e instalar Kaspersky, me lo estoy bajando de internet a través del emule, como no tengo ni idea de como funciona me bajaré la versión 4.0 porque he encontrado un manual de esa versión. Entonces me imagino que si desinstalo el Norton e instalo el Kaspersky por fin eliminaré esos intrusos que nos están dando tanto trabajo. Muchisimas gracias por tu ayuda de verdad, de corazón te lo agradezco. Un saludo.
 

alnitak

Ex-Admin
Miembro
#12
La versión 4 es muy vieja y es posible que no funcione en un sistema con el SP2 instalado como el tuyo.

Te aconsejo que instales la ultima versión y que la actualices antes de usarla.
 

Lidia64

Nuevo Miembro
Miembro
#13
Ok, de nuevo otra vez te haré caso, creo que la versión 5.0.142 es la última, lo que ocurre es que no tengo ni idea de como funciona, pero espero saber manejarlo en breve. Nuevamente te doy las gracias otra vez. Saludos.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie