Troyano!

Estado
Cerrado para nuevas respuestas

Nachoa

Nuevo Miembro
Miembro
#1
Estimados:

Enciendo la Pc y el Nod32 empieza a detectarme la presencia de virus que no puede eliminar, y voy abortando y vuelven a aparecer los carteles, es como si algo quisiera instalarse en la Pc, todo ocurre sin abrir el Explorer.

Lo que me aparece es:

ARCHIVO: http://82.179.166.72/1/rdgmx208.exe

VIRUS: Win 32/dialer.nad

ARCHIVO: http://win.ysbweb.com/ist/spftwares/v4.0/ysb_regular.cab

VIRUS: win32/trajan downloader.istbar.fy troyano

ARCHIVO: http://searchmiracle.com/cab/v3cab.cab

VIRUS: win32/trajan downloader.small.xo

ARCHIVO: ...://install.xxxtoolbar.com/acripts/prompt.php? event_type=onload&recurrence=always&

VIRUS: js/trajandownloader.istbar.a troyano.

Cada vez que aborto vuelve a detectarlos, si desconecto el modem no aparecen.

Aca paso un Log del

Logfile of HijackThis v1.98.2

Scan saved at 11:52:01 a.m., on 15/11/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\MARTIN\HIJACKTHIS - ANTISPYWARE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rnonline.com.ar/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.9.201.3:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Nod32CC] "C:\Archivos de programa\Eset\nod32cc.exe" -DONTSHOW

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE

O4 - HKLM\..\Run: [Windows AdControl] C:\PROGRAM FILES\WINDOWS ADCONTROL\WINADCTL.EXE

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.overpro.com

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...4853a1e13e38ff0

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\COMP\HPUIPROT.DLL

Espero vuestra ayuda, gracias.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Por favor, bájate e instala el programa Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O4 - HKLM\..\Run: [Windows AdControl] C:\PROGRAM FILES\WINDOWS ADCONTROL\WINADCTL.EXE

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.overpro.com

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...4853a1e13e38ff0



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estas carpetas y todo su contenido si todavía existen:

C:\PROGRAM FILES\WINDOWS ADCONTROL\

Si tu antivirus lo permite, escaneate todavia con el sistema en modo a prueba de fallos

Reinicia normalmente.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

Nachoa

Nuevo Miembro
Miembro
#3
Hola de nuevo, ha seguido los pasos correctamente, al principio creí que todo se había solucionado pero al reiniciar vuelven a aparecer todo, lo que me olvidé decir es que se me aparece en el centro de la pantalla un cuadro de texto así:

MICROSOFT INTERNET EXPLORER



you must click YES to get access



Aceptar

La única opción para quitarlo es aceptando, cuando lo hago intenta descargarme algo y ahí mi antivirus lo detecta y se aborta el proceso.

Como hago para saber porque intenta descargarme algo sin siquiera tener el IE abierto?

Te paso un nuevo Log:

Logfile of HijackThis v1.98.2

Scan saved at 06:43:00 p.m., on 15/11/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\MARTIN\HIJACKTHIS - ANTISPYWARE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rnonline.com.ar/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.9.201.3:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Nod32CC] "C:\Archivos de programa\Eset\nod32cc.exe" -DONTSHOW

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.overpro.com

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...d7510b28ebf1261

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\COMP\HPUIPROT.DLL

Espero instrucciones y gracias.
 

alnitak

Ex-Admin
Miembro
#4
Je, lo que hace el apuro :(

Los mismos pasos de arriba pero incluye esta entrada:

O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE

y después elimina la carpeta.

C:\WINDOWS\SYSTEM\MSOFFICE\
 
Z

zerolinux

Guest
#6
HOLA...

YO TENIA EL MISMO DRAMA :) PERO SOLO CON EL SIGUIENTE MENSAJE:

ARCHIVO: http://searchmiracle.com/cab/v3cab.cab

VIRUS: win32/trajan downloader.small.xo

TB POSEO NOD32 Y LUEGO DE GUERREAR CON EL CUENTO UN RATO ENTRE (CUANDO ESTABA PUESTO EL MENSAJE DE INTERNET EXPLORER) AL ADMINISTRADOR DE TAREAS Y ME DI CUENTA QUE HAY UNA VENTANA DE INTERNET CON UNA DIRECCION RE EXTRAÑA (QUE NO APARECE EN PANTALLA), ASI QUE LA CERRE DESDE AHÍ Y NO VOLVIO A MOLESTAR... :D

TENDRIA QUE HACER LO MISMO QUE SEÑALASTE ANTERIORMENTE O ALGO MAS "SIMPLECITO POR SER"

GRACIAS
 

alnitak

Ex-Admin
Miembro
#7
Por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a Scan, después a Save log, salva el log, abre un nuevo tema y cópialo en el (que sea en un nuevo tema por favor, no postees tu log donde ya existan logs de otros usuarios).
 
Estado
Cerrado para nuevas respuestas
Arriba Pie