Troyano win32/

Estado
Cerrado para nuevas respuestas

Wily001

Ex- Mod
Miembro
#1
Hola.. tengo un Windows XP Pro, con con antivirus norton2003 y NDO32 y el ndo32 detecta el virus en la carpeta C:system/ volumene/informacion/restore; pero no encuentro la carpeta en la dirección que me da.. que puedo hacer.. aquí esta mi log..

Logfile of HijackThis v1.98.2

Scan saved at 09:52:05 a.m., on 29/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Municip. de Caaguazú\Escritorio\HijackThis_antivirus.exe

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [Joy Link] C:\ARCHIV~1\clockcopylog\Flap Program.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1022.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe

O4 - Global Startup: hp instant support.lnk = C:\Archivos de programa\Hewlett-Packard\hpis\bin\matcli.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O17 -

Saludos y gracias
 

Wily001

Ex- Mod
Miembro
#3
Hola.. Gracias Jacop por la sugerencia pero lo que quisiera saber es cual de los procesos debo de eliminar del log...

Si alguien tubiera el agrado de mencionarlo...

Saludos
 

alnitak

Ex-Admin
Miembro
#4
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)

O4 - HKLM\..\Run: [Joy Link] C:\ARCHIV~1\clockcopylog\Flap Program.exe <<-- ¿websearch2? si lo reconoces como algo legal no lo marques

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1022.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe

La carpeta C:\System Volume Information\ es la carpeta especial( y oculta) de Windows donde se guardan los archivos del Restore, tienes 2 maneras de limpiarla:

1*- Desactivar y reactivar en seguida la opción de restaurar el sistema, esto eliminará todo el contenido de esa carpeta.

2*- Editar los permisos de la carpeta y agregar tu usuario para poder entrar a ella y borrar solamente los archivos infectados

Para verla deberás cambiar tu configuración para ver archivos y carpetas ocultas:

Mostrar archivos ocultos
 

Wily001

Ex- Mod
Miembro
#7
PERDON.. es que ando medio dormido ...

Mucho laburo... saludos y disculpa las molestias...

:D :D :Pnavidad
 

Wily001

Ex- Mod
Miembro
#8
Auxiliooooooooooooooooooooooooo.....

No me elimina con desactivar la obcion de restaurar el sistema...

Sigue este virus:

Se ha detectado infección con Troyano Win32/P2E.AI en la memoria operativa.

como lo puedo eliminar el NOD32 le pega pero no lo elimina...

Auxiliooooooooooooooooooo

Saludos
 

alnitak

Ex-Admin
Miembro
#9
Si te dice que está cargado en momoria entonces es que está activo y no es simplemente que se ha respaldado en el restore.

Si NOD32 lo detecta intenta escanearte entrando al sistema en modo seguro para que el malware no se cargue en memoria y si esto tampoco te funciona te tocará probar con Kaspersky que suele removerme todo lo que NOD32 se limita a detectar.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie