Troyano win32/

Estado
Cerrado para nuevas respuestas

Wily001

Ex- Mod
Miembro
Hola.. tengo un Windows XP Pro, con con antivirus norton2003 y NDO32 y el ndo32 detecta el virus en la carpeta C:system/ volumene/informacion/restore; pero no encuentro la carpeta en la dirección que me da.. que puedo hacer.. aquí esta mi log..

Logfile of HijackThis v1.98.2

Scan saved at 09:52:05 a.m., on 29/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Municip. de Caaguazú\Escritorio\HijackThis_antivirus.exe

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [Joy Link] C:\ARCHIV~1\clockcopylog\Flap Program.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1022.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe

O4 - Global Startup: hp instant support.lnk = C:\Archivos de programa\Hewlett-Packard\hpis\bin\matcli.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O17 -

Saludos y gracias
 

Wily001

Ex- Mod
Miembro
Hola.. Gracias Jacop por la sugerencia pero lo que quisiera saber es cual de los procesos debo de eliminar del log...

Si alguien tubiera el agrado de mencionarlo...

Saludos
 

alnitak

Ex-Admin
Miembro
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)

O4 - HKLM\..\Run: [Joy Link] C:\ARCHIV~1\clockcopylog\Flap Program.exe <<-- ¿websearch2? si lo reconoces como algo legal no lo marques

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1022.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe

La carpeta C:\System Volume Information\ es la carpeta especial( y oculta) de Windows donde se guardan los archivos del Restore, tienes 2 maneras de limpiarla:

1*- Desactivar y reactivar en seguida la opción de restaurar el sistema, esto eliminará todo el contenido de esa carpeta.

2*- Editar los permisos de la carpeta y agregar tu usuario para poder entrar a ella y borrar solamente los archivos infectados

Para verla deberás cambiar tu configuración para ver archivos y carpetas ocultas:

Mostrar archivos ocultos
 

Wily001

Ex- Mod
Miembro
PERDON.. es que ando medio dormido ...

Mucho laburo... saludos y disculpa las molestias...

:D :D :Pnavidad
 

Wily001

Ex- Mod
Miembro
Auxiliooooooooooooooooooooooooo.....

No me elimina con desactivar la obcion de restaurar el sistema...

Sigue este virus:

Se ha detectado infección con Troyano Win32/P2E.AI en la memoria operativa.

como lo puedo eliminar el NOD32 le pega pero no lo elimina...

Auxiliooooooooooooooooooo

Saludos
 

alnitak

Ex-Admin
Miembro
Si te dice que está cargado en momoria entonces es que está activo y no es simplemente que se ha respaldado en el restore.

Si NOD32 lo detecta intenta escanearte entrando al sistema en modo seguro para que el malware no se cargue en memoria y si esto tampoco te funciona te tocará probar con Kaspersky que suele removerme todo lo que NOD32 se limita a detectar.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie