RESPUESTA PARA SOLUCIÓN DE TROYANO DOMCOM
Muy buenas tardes, escribo para dejar las respuestas de lo que sucedió con mi PC luego de haber llevado a cabo las instrucciones entregadas con anterioridad. Me disculpo de antemano por el tiempo que me llevo responder, razón por la cual voy directo al grano:
ACCIONES:
a. Verifique la
desactivación de creación de puntos de restauración.
b. Fui a
modo seguro de sistema y elimine la carpeta que contenía el archivo temporal con el troyano DomCom: C:\Documents and Settings\HP_Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\WJOTEHIB\ipreg32[1].cab\ipreg32.dll . tengo que agregar aquí eso si, que en mi caso, cuando se presento la alerta del DomCom, apague el computador de inmediato, no si esto hizo alguna mella pero se me dijo que el troyano no se ejecuto (por suerte), razón por la cual el archivo es de extensión cab.
c. Luego,
aun en modo a prueba de fallo,
hice correr Disk Cleaner (que elimina archivos temporales de Internet entre otros) y
Reg Cleaner (que limpia registros del sistema. Aquí estuve un poco dubitativa porque esto si puede tener consecuencias negativas, pero en fin. Hasta ahora nada) para lógicamente limpiar el sistema de rastros del troyano.
d. Posteriormente
busque la carpeta contenedora del archivo y, el archivo (ipreg32.dll) que sabia estaba contaminado en
Buscar (ir a Inicio - Buscar). De hecho busque todo rastro desde el nombre de la carpeta, etc. no encontré nada, se que esto puede resultar redundante pero nunca se sabe.
e. También en
Buscar, Revise todos los nombres de los archivos que puede crear este troyano (según el listado entregado por Symantec). Busque así los siguientes posibles archivos
a. %AppData%\SysDown\sys[5 random numbers].exe
b. %Windir%\loader_exe.dll
c. %Windir%\task32.dat bs
No los encontré. :)
f.
Ejecute luego los antivirus que tengo a disposición: Norton y AVAST. Los resultados fueron negativos respecto de encontrar este archivo (ellos si lo detectaban con anterioridad a diferencia de los antispywares que hice correr).
g. Luego,
hice correr: Spybot Search and Destroy, Ad-Aware y Spy Sweeper. Todos dieron resultado
negativo en términos de no encontrar alguna anomalía (lamentablemente ninguno de ellos me había detectado el troyano con anterioridad pero en fin).
h. Finalmente, volví a
encender mi computador en
modo normal.
Corrí los antivirus y antispywares con resultados negativos.
RESULTADOS:
Hasta ahora mi computadora
ha andado bien aunque me preocupa que nada media lenta.
Aún así, el problema parece estar solucionado. Eso espero al menos, pues aun tengo mi PC en
libertad condicional:). Ya veremos. Espero haber sido clara en los pasos que seguí ya que ando algo apurada.
Dejo aquí además, mi
logo Hijackthis para ver si me queda algún problema. OH, también anexo mi registro según
Autoruns (el cual al parecer no es tan conocido por algunos neófitos como yo. :) No se si servirá, pero lo dejo aunque no se si es mejor que el HJ o no. Como dije, neófita soy. Pero algo intento.
Logo Hijackthis: Código:
Logfile of HijackThis v1.99.1
Scan saved at 23:14:02, on 29-06-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
c:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\Archivos de programa\Norton AntiVirus\SAVScan.exe
c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\BitComet\BitComet.exe
C:\Archivos de programa\Semagic\LiveJournalU.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livejournal.com/users/tradesland/friends
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe
O8 - Extra context menu item: Agregar a HP Organize... - C:\ARCHIV~1\HEWLET~1\HPORGA~1\bin\core.hp.main\SendTo.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114894330812
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by23fd.bay23.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7D2CED-8ED8-4EAF-9F2D-90BBFEEC29A8}: NameServer = 200.28.4.129 200.28.4.130
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe Logo Autoruns: (para que muestre todo lo que muestra me recomendaron que mientras se ejecutara hiciera clic en la tecla Control y luego fuera haciendo clic sin soltar dicha tecla en las letras B, I, E y V, ya que de esta forma )
Código:
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ AudioSrv Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. c:\archivos de programa\alwil software\avast4\ashserv.exe
+ Browser Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ ccEvtMgr Symantec Event Manager Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe
+ ccProxy Symantec Network Proxy Service Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccproxy.exe
+ ccSetMgr Symantec Settings Manager Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsetmgr.exe
+ CryptSvc Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ DcomLaunch Ofrece el inicio de funcionalidad para los servicios DCOM. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ Dhcp Administra la configuración de la red registrando y actualizando direcciones IP y nombres DNS. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ Dnscache Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ ERSvc Permite informar de errores para servicios y aplicaciones que se ejecutan en entornos no estándar. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ Eventlog Habilita mensajes de registro de sucesos emitidos por programas basados en Windows y componentes para que se vean en Visor de sucesos. Este servicio no se puede detener. Microsoft Windows Publisher c:\windows\system32\services.exe
+ helpsvc Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ HidServ Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ lanmanserver Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ lanmanworkstation Crea y mantiene conexiones de cliente de red a servidores remotos. Si se detiene el servicio, estas conexiones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ LmHosts Habilita la compatibilidad con NetBIOS a través del servicio TCP/IP (NetBT) y la resolución de nombres NetBIOS. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ navapsvc Gestiona los eventos de Auto-Protect de Norton AntiVirus. Symantec Corporation c:\archivos de programa\norton antivirus\navapsvc.exe
+ PlugPlay Habilita un equipo para que reconozca y adapte los cambios de hardware con el menor esfuerzo por parte del usuario. Si se detiene o deshabilita este servicio, el sistema se volverá inestable. Microsoft Windows Publisher c:\windows\system32\services.exe
+ PolicyAgent Administra la directiva de seguridad IP e inicia el controlador ISAKMP/Oakley (IKE) y de seguridad IP. Microsoft Windows Publisher c:\windows\system32\lsass.exe
+ ProtectedStorage Ofrece almacenamiento protegido para datos importantes, como claves privadas, para impedir el acceso de servicios, procesos o usuarios no autorizados. Microsoft Windows Publisher c:\windows\system32\lsass.exe
+ RpcSs Ofrece el asignador de punto final y otros servicios RPC diversos. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ SamSs Almacena información de seguridad de cuentas de usuario locales. Microsoft Windows Publisher c:\windows\system32\lsass.exe
+ SAVScan Handles Norton AntiVirus Auto-Protect Archive Scanning Symantec Corporation c:\archivos de programa\norton antivirus\savscan.exe
+ Schedule Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ seclogon Habilita los procesos de inicio en credenciales alternas. Si se detiene este servicio, se deshabilitará este tipo de acceso de inicio de sesión. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ SENS Registra sucesos del sistema como los de inicio de sesión en Windows, red y energía, y los notifica a los suscriptores de sucesos del sistema COM+. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ SharedAccess Ofrece servicios de traducción de direcciones, direccionamiento, resolución de nombres y/o servicios de prevención de intrusión para una red doméstica o de pequeña empresa. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ ShellHWDetection Proporciona notificaciones sobre eventos de hardware AutoPlay. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ SNDSrvc Symantec Network Drivers Service Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\sndsrvc.exe
+ Spooler Carga archivos en la memoria para imprimirlos después. Microsoft Windows Publisher c:\windows\system32\spoolsv.exe
+ srservice Realiza funciones de restauración del sistema. Para detener el servicio, desactive Restaurar sistema en la ficha de Restaurar sistema en propiedades de Mi PC Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ SymWSC Symantec WMI Service Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\security center\symwsc.exe
+ Themes Proporciona administración de temas de experiencia de usuario. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ TrkWks Mantiene vínculos entre archivos NTFS dentro de un equipo o entre equipos en un dominio de red. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ UMWdf Enables Windows user mode drivers. Microsoft Windows Component Publisher c:\windows\system32\wdfmgr.exe
+ W32Time Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ WebClient Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ winmgmt Generic Host Process for Win32 Services Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ wuauserv Habilita la descarga e instalación de actualizaciones de Windows. Si este servicio se deshabilita, el equipo no podrá usar la característica Actualizaciones automáticas ni el sitio Web de Windows Update. Microsoft Windows Publisher c:\windows\system32\svchost.exe
+ WZCSVC Proporciona configuración automática para los adaptadores 802.11 Microsoft Windows Publisher c:\windows\system32\svchost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ cscdll Agente de red sin conexión Microsoft Windows Publisher c:\windows\system32\cscdll.dll
+ ScCertProp DLL común de recepción de notificaciones Winlogon Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ Schedule DLL común de recepción de notificaciones Winlogon Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ SensLogn DLL común de recepción de notificaciones Winlogon Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ termsrv DLL común de recepción de notificaciones Winlogon Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ wlballoon DLL común de recepción de notificaciones Winlogon Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
+ C:\WINDOWS\system32\userinit.exe Aplicación de inicio de sesión (Userinit) Microsoft Windows Publisher c:\windows\system32\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
+ Explorer.exe Explorador de Windows Microsoft Windows Publisher c:\windows\explorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ccApp Common Client User Session Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ Recguard Recguard Application c:\windows\sminst\recguard.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ Actualización del escritorio de Windows Microsoft(C) Register Server Microsoft Windows Publisher c:\windows\system32\regsvr32.exe
+ Fax ADVPACK Microsoft Windows Publisher c:\windows\system32\advpack.dll
+ Internet Explorer Windows NT User Data Migration Tool Microsoft Windows Publisher c:\windows\system32\shmgrate.exe
+ Internet Explorer 6 Utilidad de instalación Per-User de IE 5.0 Microsoft Windows Publisher c:\windows\system32\ie4uinit.exe
+ Libreta de direcciones 6 Biblioteca de instalación de Outlook Express Microsoft Windows Publisher c:\archivos de programa\outlook express\setup50.exe
+ Microsoft Outlook Express 6 Biblioteca de instalación de Outlook Express Microsoft Windows Publisher c:\archivos de programa\outlook express\setup50.exe
+ Microsoft Windows Media Player Programa para instalación de Reproductor de Windows Media de Microsoft Microsoft Windows Component Publisher c:\windows\inf\unregmp2.exe
+ Microsoft Windows Media Player ADVPACK Microsoft Windows Publisher c:\windows\system32\advpack.dll
+ NetMeeting 3.01 ADVPACK Microsoft Windows Publisher c:\windows\system32\advpack.dll
+ Outlook Express Windows NT User Data Migration Tool Microsoft Windows Publisher c:\windows\system32\shmgrate.exe
+ Themes Setup Microsoft(C) Register Server Microsoft Windows Publisher c:\windows\system32\regsvr32.exe
+ Windows Messenger 4.7 ADVPACK Microsoft Windows Publisher c:\windows\system32\advpack.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
+ Demonio de caché de las categorías de componente Biblioteca de IU Shell Browser Microsoft Windows XP Publisher c:\windows\system32\browseui.dll
+ Precargador Browseui Biblioteca de IU Shell Browser Microsoft Windows XP Publisher c:\windows\system32\browseui.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
+ CDBurn DLL común del shell de Windows Microsoft Windows XP Publisher c:\windows\system32\shell32.dll
Código continua en el otro post.
CONTINUARA :)