Hola la verdad esta ya es mi ultima opcion... tengo serios problemas con esta variante de virus / troyano realmente todavia no lo he podido identificar::stress::.

Veran tengo:

WinXp Sp2 version UE 7.0 instalado
Zone Alarm 7.0
spyBot Search and Destroy
AVG Anti-Spyware
SUPERAntiSpyware Free Edition
Nod 32 (Actualizado)
ComboFix
Ccleaner

el zonealarm me bloquea la conexion a internet del VRR*.tmp y el spybot evita que se monte en el registro y aun asi se monta.:ojotes:


bueno con todas esas cosas y un poco de experiencia que he obtenido leyendo aca el mismo problema de que cuando inicia el sitema solo se ve el fondo del escritorio de windows, he podio subsitir sin formatear reiterativamente mi particion C: (tengo tres particiones).:biggrin:

la gran duda::pensar:: es que puedo hacer para retirar de mi sistema definitvamente este programa, que de cada 3 reiniciadas de mi equipo almenos una se monta el troyano y no me deja hacer nada entonces me toca:

1 Reiniciar a modo prueba de fallos.
2 entrar como Administrador.
3 Correr el nod32 eliminar cuanto virus se encuentra.
4 correr el SUPERAntiSpyware
5 correr el ccleaner
6 reiniciar.

estos paso los hago y el equipo entra nuevamente en s sesion normal. pero esto no es una solucion total

existe alguna manera de terminar el proeso que arma/monta todos eso troyanos en mi sistema..=?

la verda ya o se que hacer, el combo fix no encuentra nda raro, el msncleaner menos y en el log de HijackThis no se ve nada raro.

y en mi configuracion de inicio no observo nada extraño.

alguien me puede dar una luz para desenmarañar mi PC...=?

GRACIAS!!!

Hola mecano, Bienvenido al foro :beer:

Comnezemos por lo básico haz un scaneo con
Kaspersky Online (http://www.kaspersky.com/kos/spanish/kavwebscan.html)-Manual (http://www.forospyware.com/t55793.html)

Pega el reporte del Kaspersky si encontrste virus..

Nos comentas.
Salu2:Bien:

--------------------------------------------------------------
No existen preguntas tontas, sino tontos que no preguntan

Hola mecano

Hace los siguiente


Descarga el SilentRunner (http://www.silentrunners.org/Silent%20Runners.vbs) (dale click con el boton derecho del ratón al enlace y luego en Guardar enlace cómo, Save as o Save Link as....)

Ejecuta el script, al hacerlo, te hará unas preguntas, en dichas preguntas contesta 'No' y 'Si' (en ese orden)....
Luego, deberás esperar (aunque parezca que no hace nada) a que te aparezca un mensaje con el botón OK
En la misma carpeta que ejecutes el script aparecerá un archivo llamado Reporte el cual deberás colocarlo aquí (si lo abres o envías antes de ver el mensaje con el botón Ok, no estará completo)
Ten un poquito de paciencia hasta que termine el proceso.




Descarga RKFiles (http://skads.org/special/rkfiles.zip) y descomprimilo en el escritorio, pero no lo ejecutes aún.
Dale doble-click sobre el archivo RKFiles.bat, debes esperar...Cuando la ventana negra se cierra, el scan a terminado.
Esta aplicación generara un reporte que tendrías que pegar en este mismo mensaje, el dicho reporte se aloja en C:\log.txt.

NOTA* El pequeño problema del RKFiles es que el scaneo es un poco lento dura 30/45 minutos, así que ten paciencia por favor.




salu2 http://img455.imageshack.us/img455/7932/icontwistedrp4.gif
Recuerda volver

Ok realizando escaneos y les comento aunque el nod me saca contnuamente alerrta de virus y codigo malicioso

Este es log es del no32 en la mañana del viernes

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema
28/09/2007 14:43:28 AMON Archivo C:\DOCUME~1\mecano\CONFIG~1\Temp\Archivos temporales de Internet\Content.IE5\3QM00U5G\cr[2].htm JS/TrojanDownloader.Agent.AB (Troyano) Puesto en cuarentena - Eliminado ELKIN\mecano Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 14:43:26 IMON Archivo http://ntkrnlpa.info/cr/?i=1 JS/TrojanDownloader.Agent.AB (Troyano) Conexión terminada ELKIN\mecano
28/09/2007 14:43:25 AMON Archivo C:\DOCUME~1\mecano\CONFIG~1\Temp\Archivos temporales de Internet\Content.IE5\3QM00U5G\cr[1].htm JS/TrojanDownloader.Agent.AB (Troyano) Puesto en cuarentena - Eliminado ELKIN\mecano Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 14:43:22 IMON Archivo http://ntkrnlpa.info/cr/?i=1 JS/TrojanDownloader.Agent.AB (Troyano) Conexión terminada ELKIN\mecano
28/09/2007 13:35:31 AMON Archivo C:\SYSTEM VOLUME INFORMATION\_RESTORE{F448EC98-AD18-485C-AC3D-0C4E3F9614B9}\RP9\A0011657.EXE Variante modificada de Win32/TrojanDownloader.Agent.NRB (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\System32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 11:02:00 AMON Archivo C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\CONFIGURA CIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\KT234HEB\DL[2].EXE Probablemente desconocido CRYPT.WIN32 (Virus) Eliminado ELKIN\mecano Suceso ocurrido en un archivo modificado por la aplicación: E:\Downloads\software\Proteccion\VundoFix.exe.
28/09/2007 11:01:56 AMON Archivo C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\CONFIGURA CIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\0PMNO1EZ\DL[1].EXE Probablemente desconocido CRYPT.WIN32 (Virus) Eliminado ELKIN\mecano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación E:\Downloads\software\Proteccion\VundoFix.exe.
28/09/2007 11:01:38 AMON Archivo C:\WINDOWS\SYSTEM32\PROTECTOR.EXE Win32/TrojanProxy.Wopla (Troyano) Eliminado ELKIN\mecano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación E:\Downloads\software\Proteccion\VundoFix.exe.
28/09/2007 10:41:56 AMON Archivo C:\WINDOWS\system32\ntio256.sys Win32/Rootkit.Agent.CF (Troyano) Eliminado ELKIN\mecano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\DOCUME~1\mecano\CONFIG~1\Temp\Tmp___2143\PrevxC SI.exe.
28/09/2007 10:40:11 AMON Archivo C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\CONFIGURA CIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\I3D4LS8T\ADV735[1].EXE Probablemente una variante modificada de (Troyano) Win32/TrojanProxy.Dlena Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: \??\C:\WINDOWS\system32\winlogon.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 10:40:09 AMON Archivo C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\KT234HEB\adv735[1].exe Probablemente una variante modificada de (Troyano) Win32/TrojanProxy.Dlena Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación \??\C:\WINDOWS\system32\winlogon.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 10:40:08 AMON Archivo C:\WINDOWS\TEMP\VRR23.tmp Probablemente una variante modificada de (Troyano) Win32/TrojanProxy.Dlena Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: \??\C:\WINDOWS\system32\winlogon.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 10:40:04 IMON Archivo http://85.114.140.107/~grander/adv735.exe Probablemente una variante modificada de (Troyano) Win32/TrojanProxy.Dlena NT AUTHORITY\SYSTEM
28/09/2007 10:38:33 AMON Archivo C:\WINDOWS\SYSTEM32\VMW03A\VMW03A1066.EXE Win32/TrojanDownloader.VB.AWJ (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
28/09/2007 10:38:24 AMON Archivo C:\WINDOWS\system32\ntio256.sys Win32/Rootkit.Agent.CF (Troyano) NT AUTHORITY\SYSTEM Suceso ocurrido al intentar acceder al archivo.


Apenas termine los otros les comento.

Gracias por la Atencion Prestada.

bueno depsues de hacer el escaneo con el Kapersky inline slaio una cantidad de VIRUS "Virus.Win32.Virut.q" en vista de esto descargue e instale el kapersky en mi mauina y lo "registre" permitiendo uso completo depsues de esto el detecto y desinfecto y borro una cantidad de virus inmensa y en la 3 ves que lo pase me arrojo un LOG inmenso que en resumen es :

Analizar Mi PC
--------------
Analizados: 1120948
Detectados: 549
Sin procesar: 0
Hora de inicio: 01/10/2007 16:51:21
Duración: 47208 días 08:29:51
Hora de final: 01/10/2007 13:22:47

ahora hare el escaneo con el archivo sript que colgaron aca tambien.

pero creo que m sistema sigue envirulado pues lo he escanceado desde modo aprueba de fallos y modo normal y de ves en cuando el Kapersky de mi pc lanza la alerta de archivio modificado, corrupto pues eso hace el virus corrompe todos los exe

muchas gracias.

bueno depsues de hacer el escaneo con el Kapersky inline slaio una cantidad de VIRUS "Virus.Win32.Virut.q" en vista de esto descargue e instale el kapersky en mi mauina y lo "registre" permitiendo uso completo depsues de esto el detecto y desinfecto y borro una cantidad de virus inmensa y en la 3 ves que lo pase me arrojo un LOG inmenso que en resumen es :

Analizar Mi PC
--------------
Analizados: 1120948
Detectados: 549
Sin procesar: 0
Hora de inicio: 01/10/2007 16:51:21
Duración: 47208 días 08:29:51
Hora de final: 01/10/2007 13:22:47

ahora hare el escaneo con el archivo sript que colgaron aca tambien.

pero creo que m sistema sigue envirulado pues lo he escanceado desde modo aprueba de fallos y modo normal y de ves en cuando el Kapersky de mi pc lanza la alerta de archivio modificado, corrupto pues eso hace el virus corrompe todos los exe

muchas gracias.

hola,,

revisa los siguientes enlaces

http://www.forospyware.com/t115404.html#post493667

http://www.forospyware.com/t115404-3.html#post496593

:bye:

Bueno antes que nada me considero una persona que me gusta leer y aprender tecnicas de proteccion y entre toda esas fue que pude medio sobrevivir a TREMENDA INFECION!!!!

veran me gusta probar software descargar craks, juegos, programas en fin P2P y al parecer en unas de esas me infecte nocivamente y no tenia ni idea de eso, hasta que fue demaciado tarde todo comenzo con la entrada al sistema, "solo veia el fondo del pantalla". en este punto comenzo mi tarea.

leyendo muchos post aca pude recuperara mi pc haciendo tareas como:

1. desabilitar la restauracion del sistema.
2. instalar y actualizar el Spybot Search and destroy.
3. Instalar y saber configurara en ZoneAlarm.
4. escanear y limpiar con "Ccleaner - Avg AntiSpyware - SUPERAntiSpyware".

hasta este punto la felicidad volvio a mi pc, claro estaba que cada ves que lo reiniciaba era un riesgo Fatal. El zone alarm evitaba que el "troyano - virus " se conectara ala internet el SpyBot impedia que se montase en el registro de mi maquina y los otros pues eliminaban todo el regero de troyanos - malware que extrañamente entraban.

asi dure un buen rato sin problemas pero todo empeoro conoci una mezcla faltal el vrr1-vrr2-vrr3-vrr4......tmp en fin eso mutaba cada rato el sistema se puso lentisimo solo hacia extrictamente lo minimo.

continue investigando y comprobe que mi Super "Nod" no era del todo infalible. me toco migrar al KAPERSKY y me enonctre con tremenda joyita una tremenda infeccion de mi sistema con este virus el "virut".

tanto fue la infeccion que me toco reinstalar windows XP, no podia formatear mi particion C: asi que toco otra carpeta windows, despues de recien instalado, el virus volvio y ataco pero ahora no me dejaba ni inicar session. la cosa se puso color de hormiga como decimos en my Colombia

toco entrar en modo a prueba de fallos con soporte para red. volver a instalar el kapersky dejarlo toda la noche limpiando todas mis particiones y eso salieron bichitos .... jejej

y hay me entere que este virus mutagenico!!! todavia no se puede eliminar del todo, al parecer tocara formatear todas mis particiones lo cual en este momento no es una opcion viable para mi sistema.

en estos momentos seguire con mi combinacion de Zonealarm + Kapersky y si las cosas se complican le aumentamos el nivel con spybot y el resto de herramientas.

Espero alguien encuentre util esta nefasta historia y si alguien encuentra la solucion a este SEÑOR VIRUS se le agradeceria cualquier dato.

Gracias por la atencion y colaboracion.

Bueno aca les dejo el informe del PandaScan corrido ayer, depsues de una limpieza completa del kapersky.

----------////

Incidencia Estado Elemento

Adware:adware/savenow No desinfectado c:\archivos de programa\VVSN
Virus:Trj/Sinowal.DW Desinfectado C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\WVGUWNJJ\ehkms[1].htm
Virus:Trj/Downloader.NUS Desinfectado C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\WVGUWNJJ\qprkc[1].htm
Adware:Adware/Maxifiles No desinfectado C:\Documents and Settings\Administrador.DESKTOP\7zS4D7.tmp\SPTD138. exe
Adware:Adware/Maxifiles No desinfectado C:\Documents and Settings\Default User.WINDOWS.0\7zS4D7.tmp\SPTD138.exe
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\WINDOWS\NirCmd.exe
Virus:Trj/Sinowal.DW Desinfectado C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\0PMNO1EZ\ehkms[2].htm
Adware:Adware/Maxifiles No desinfectado C:\WINDOWS.0\system32\config\systemprofile\7zS4D7. tmp\SPTD138.exe
Hacktool:HackTool/NewPassword.A No desinfectado C:\WINDOWS.0\Temp\Pass.exe
Spyware:Cookie/HotLog No desinfectado D:\5qftadw9.default.zip[5qftadw9.default/cookies.txt][.hotlog.ru/]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado E:\Downloads\software\Proteccion\antivrus\ComboFix .exe[nircmd.exe]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado E:\Downloads\software\Proteccion\ComboFix.exe[nircmd.exe]
Virus:Generic Trojan Desinfectado E:\Downloads\software\Tools\Librerias - Dlls\lz0pl201.zip[Crack/keygen.exe]


----------///
por lo que veo el sistema se esta limpiando espero.... jeje;-)

Hola mecano

Bueno si, si se esta limpiando tu sistema.

Realiza lo Siguiente:

Elimina la Herramienta ComboFix

Busca y desinstala el Siguiente Programa: VVSN y elimina su carpeta de Archivos de Programas

Ahora Elimina los Siguientes Archivos: ( Si no se dejan Eliminar usa FileAssasin (http://www.forospyware.com/t68195.html#post298547)):


C:\Documents and Settings\Administrador.DESKTOP\7zS4D7.tmp\SPTD138. exe
C:\Documents and Settings\Default User.WINDOWS.0\7zS4D7.tmp\SPTD138.exe
C:\WINDOWS.0\system32\config\systemprofile\7zS4D7. tmp\SPTD138.exe
C:\WINDOWS.0\Temp\Pass.exe
D:\5qftadw9.default.zip


Descargar Ccleaner-Manual (http://www.forospyware.com/t39511.html) y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

Nos comentas como van los progresos, y envianos un Nuevo reporte

Saludos. :adios:

Hola...
bueno depues de tremenda infeccion en mi disco con varias particiones, opte por formatear la particon C , escanear en profundidad als demas particiones antes de l formateada y despues de l formateada y todo "perfecto" puesto lo unico que no he podio eliminar es a esta linea del troyano "http://ntkrnlpa.info/cr/?i=1" la cual cada ves que puede se dispara para intentar conectarse y el kapersky lo bloquea.

pero me encontre que en una aplicacion que estoy haciendo en mi pc en mi servidor local AppServer, en donde se redirecciona o se abre una nueva ventana se posiciono el troyano. cambiandome el codigo fuente de la pagina PHP. eso si el colmo, ahora me toca casi volver hacerla.

jeje alguien sabe como verificar que esto quede realmente eliminado....=?