Buenas tardes,
mi problema es el siguiente, desde hace tres semanas, estoy con un problema de
caballo troyano llamado Domcom detectado por Norton Antivirus. Este programa (Norton)
no pudo eliminarlo (curiosos, jamas hubiera imaginado que norton no podría hacer nada respecto a un troyano 
) y me sugirió la siguiente alternativa de limpieza:
http://securityresponse.symantec.com...an.domcom.html :oops:
Por supuesto
, esta alternativa no sirvió, de hecho
los elementos que me piden eliminar no se encuentran en mi registro aunque debo agregar de que si, soy bastante novata en esto :) he buscado también en google y los resultados o ideas de solución o son muy difíciles y por ende arriesgados (usualmente en ingles) o son copias no tan felices de Norton y no ayudan en nada.
Dejo aquí mi log de
HijackThis v1.99.1 y mas abajo señalo las alternativas a las cuales ya he recurrido.
Se los ruego, ayúdenme, es la única vez que preste el equipo y me ha costado caro, hasta he pensado hacer la
restauración de HP (
que aparentemente es la de programas a estado de fabrica, la de windows XP me parece que va solamente en el ámbito de puntos de restauración y este ya esta desactivado porque seguramente el caballo de Troya podría colarse en el registro del punto y preferí no correr riesgo). Aquí va el log:
Logfile of HijackThis v1.99.1
Scan saved at 17:43:45, on 12-06-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Código:
Running processes:
Logfile of HijackThis v1.99.1
Scan saved at 17:11:28, on 21-06-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
c:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\Archivos de programa\Norton AntiVirus\SAVScan.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livejournal.com/users/tradesland/friends
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe
O8 - Extra context menu item: Agregar a HP Organize... - C:\ARCHIV~1\HEWLET~1\HPORGA~1\bin\core.hp.main\SendTo.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114894330812
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by23fd.bay23.hotmail.msn.com/activex/HMAtchmt.ocx
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WinPPPoverEthernet - Unknown owner - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE (file missing)
He hecho lo siguiente:
1. He Re ejecutado el
Norton Antivirus y me resulta en lo mismo. A lo mas me da la ubicación. viva norton. No realmente.
2. La ubicación dada es
C:\Documents and Settings\HP_Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\WJOTEHIB\ipreg32[1].cab\ipreg32.dll.. Al llegar a esta instancia, puedo encontrar hasta la capeta pero no el archivo pese a que active ver archivos ocultos y de sistema, ido a modo a prueba de ensayo y buscado el bendito archivo, etc.
3. También
desactive (y es algo que he mantenido) la creación de puntos de restauración del sistema de Windows como se me aconsejo en la pagina de Norton.
4. He ejecutado el
Ad – Aware (ultima versión y actualizado) = no me reconoce nada.
5. He ejecutado el
AVAST (ultima versión y actualizado) = me reconoce el troyano como:
Win32:Trojan-gen. {Other}. De hecho me da los siguientes resultados en el visor de informes:
a) SYSTEM 260 Sign of "Win32:Trojan-gen. {Other}" has been found in "http://qck.cc/x/ipreg32.cab\ipreg32.dll" file.
b) Administrador 1508 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\Documents and Settings\HP_Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\WJOTEHIB\ipreg32[1].cab\ipreg32.dll" file.
c) SYSTEM 300 AAVM - scanning warning: x_AavmCheckFileDirectEx:
http://www.chile.com/tpl/jsexport/ucv/index.tpl (C:\WINDOWS\TEMP\_avast4_\PxB51.tmp) returning error, 0000A47E.
d) SYSTEM 252 Sign of "Win32:Kuang2" has been found in "http://www.pandasoftware.com/ActiveScan/as5/motor.cab\imscan.dll" file.
6. He ejecutado
panda Antivirus desde Internet y me da tal resultado:
Incidencia: Adware:Adware/NavHelper--- Estado No desinfectado ----- Elemento C:\Archivos de programa\Ares Aquí destaco que una vez instale el Ares pero lo elimine enseguida, aparentemente quedo eso, pero eso no había molestado hasta ahora. En fin.
También destaco que tuve este problema (Adware:Adware/NavHelper) en mi equipo hace un tiempo pero supuestamente lo había eliminado siguiendo instrucciones del sitio de Norton.
Supuestamente.
7. También he probado con
Autoruns. Si alguien me hace caso (por favor, por favor!!!!).
Puedo postear el resultado que este me dio y
una imagen (o 2
de mi administrador de tareas. Soy toda ayuda :)
8. he ejecutado el
spybot search and destroy post configurarlo tal como leí en un tutorial de
www.tvnauta.cl (ultima versión y actualizado) = no me reconoce siquiera el problema.
9. He ejecutado SPY SWEEPER. identico resultado que con el spybot.
10. he bajado el
F-prot para DOS (según me lo sugirió tvnauta.cl) pero no lo he ejecutado pues no me es conocido el procedimiento y no he encontrado tutoriales de DOS que me ayuden realmente y no deseo mandarme el medio numerito. Además, puede que me equivoque peor aun.
Tengo entonces, los siguientes programas bajados de supuesta defensa:
NORTON ANTIVIRUS Y FIREWALL (venía de fabrica en la PC), AVAST, SPYBOT S&D, AD- AWARE, AUTORUNS, SPY SWEEPERSpy Bot, ad-aware, f-prot y realmente no deseo colocar mas estupideces (disculpen el vocablo pero ya estoy harta).
Oh, tambien baje el disk cleaner, para limpiar la cosa, es igual o mas o menos bueno que el reg cleaner? Son ms o menos compatible en el servicio que prestan? En el tvnauta me recomendaban The Cleaner pero es de trial y no se la verdad.
Dejo aquí tambien el link para la pagina de tvnauta donde ellos amablemente me dieron una idea de soluciona (tambien soy faeton alli, solo hay que bajar un poquito la pagina y me veran):
SaveLog de HijackThis [Respuestas]
Por ultimo (largo el asunto lo se, pero trato de poner la mayor información que recuerdo), algunas veces, antes de este troyano, se me ha desconectado la conexión Internet sin razón aunque la he resumido sin problemas nuevamente y he tenido que actualizar las paginas porque, aunque solo a veces, me lleva a “no se encontró la pagina”. Puede que no sea nada, pero al leer otras informaciones aquí y en la web, puede que no.
Oh, el hauri esta en mi computador también por cosas del la vida
,WinPoET Broadband Connection. Mi equipo es HP
HP Pavilion t727m Desktop PC, Windows XP, con service pack dos. Me conecto con Arescom 1000 ADSL terra y WinPPPoverEthernet y de hecho, el troyano apareció la única vez que lo he prestado a alguien.......
Por favor ayúdenme.
Desde ya muchas gracias.
Faetón.