PDA

Ver la Versión Completa : auxilio con este troyano

ronald camilo g
09/10/07, 16:57:00
**editado**
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Generic
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Adware.Generic
Path: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-21-1220945662-152049171-1644491937-27181\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: TrackingCookie.Netflame
Path: :mozilla.6:C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\coo kies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@adbrite[1].txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@ads.adbrite[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\roguzman\Cookies\roguzman@doubleclick[1].txt
Risk: Medium
juan01_12
09/10/07, 19:34:18
Hola, bienvenido al foro Politicas del foro (http://www.forospyware.com/t3.html), Consejos a la hora de publicar nuevos mensajes (http://www.forospyware.com/t2.html).

Realiza estos pasos:

:1:
Descarga y ejecuta CClenaer (http://download.ccleaner.com/ccsetup139.exe). Usar primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

:2: Pasa estos dos antivirus on line:

Ewido (http://www.ewido.net/en/onlinescan/) (Elimina lo que te encuentre dando click en REMOVE INFECTIONS) kaspersky (http://www.kaspersky.com/sp/virusscanner) (Coloca su log)

Comentanos comot e ah ido, Saludos!
ronald camilo g
10/10/07, 10:17:47
http://C:\Documents and Settings\roguzman\Desktop\VIRUS.bmp::Help::

TENGO UN TROYANO HORSE SE LLAMA TROJ_AGENT.DQY LO TENGO UBICADO EN C:\TMP'EDWSSZ.EXE
SIEMPRE INTENTO DE FINALIZAR EL PROCESO LO LIMPIOR LO BORRO PERO CADA VEZ QUE SE ACTULIZA EL ANTIVIRUS EL TREND VUELVE Y APARECE PERO CON DIFERENTE NOMBRE PERO CON EL MISMO ICONO DEL CABALLO

HE EECHO DE TODO LOS PROCESOS QUE HAY CON TODO LOS ANTIVIRUs que pueddan existir pero nada por ayudemen es que este compu es de la empresa y lo que no quiero es mandarlo a formatear.::ups::
axl456
10/10/07, 11:14:21
realiza lo que juan01_12 te indico, y colocanos el reporte de Kaspersky online..

al dar una nueva respuesta recuerda contarnos la evolucion del problema y si realizaste los pasos que se te han estado indicando..
ronald camilo g
11/10/07, 11:19:32
MIRA ESTE FUE EL INFORME QUE ME DIO OJALA ME AYUDES GRACIAS



KASPERSKY ONLINE SCANNER INFORME
jueves, 11 de octubre de 2007 10:07:50
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 11/10/2007
Registros en la base antivirus: 404590
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 108071
Virus encontrados 1
Objetos infectados 1 / 0
Objetos sospechosos 0
Duración del análisis 01:27:59

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\adminpds\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked saltado
C:\Documents and Settings\adminpds\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\dfsr.db Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\fsr.log Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\fsrtmp.log Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\tmp.edb Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows Live Contacts\ronaldguzmanm@hotmail.com\real\members.st g Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows Live Contacts\ronaldguzmanm@hotmail.com\shadow\members. stg Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\History\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\History\History.IE5\MSHist012007101120071 012\index.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\adminpds\Local Settings\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat Object is locked saltado
C:\Documents and Settings\adminpds\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\adminpds\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\FBARRETO\Local Settings\Temp\hsperfdata_FBARRETO\3696 Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\roguzman\Local Settings\Temporary Internet Files\Content.IE5\27OVU9A5\SHOW_VIDEO_FILE[1].exe Infectados: Trojan-Downloader.Win32.Agent.auv saltado
C:\Program Files\Altiris\AClient\AClient.log Object is locked saltado
C:\Program Files\Altiris\Altiris Agent\Agents\InventoryRuleAgent\InventoryRuleCache .iad Object is locked saltado
C:\Program Files\Altiris\Altiris Agent\Software Delivery\pkgdlvlk.tmp Object is locked saltado
axl456
11/10/07, 12:01:18
lo unico que reporta el kasperky es un archivo infectado en los archivos temporales de internet, vacialo de la siguiente manera:

Selecciona Panel de control, Opciones de Internet, General
En Archivos temporales de Internet pincha en "Eliminar archivos"
Marca la opción "Eliminar todo el contenido sin conexión"
Pincha en Aceptar.


luego ejecuta el ccleaner..

segun lo que muestra el reporte del resto la pc se encuentra limpia, tienes alguna otra duda o podemos dar el tema por solucionado.
ronald camilo g
11/10/07, 12:13:25
no nada que borra ese troyano y el archivo ese IMG:como hago para adjuntarte la foto de como sigue el hay y los archivos que me estan perjudicando
axl456
11/10/07, 13:28:54
realizaste lo que te indique?
ronald camilo g
11/10/07, 14:47:12
SI CLARO COMO LO INDICASTE A PAR DE LA LETRA HASTA CON EL KILL BOS QUE ME INDICO JUAN Y CON EL CCLEEANER Y TODO CON REINCIO DE APRUEBA DE FALLOS MEJOR DICHO DE CASI DE TODAS LAS FORMAS QUE HAY
axl456
11/10/07, 15:20:13
en ese caso realiza un nuevo scan en kaspersky y colocanos el reporte..
ronald camilo g
12/10/07, 10:24:51
ESTE FUE EL ULTIMO REPORTE DESPUES DE HABERLE ECHO DE TODO.::enfermo:



Friday, October 12, 2007 8:03:42 AM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 11/10/2007
Kaspersky Anti-Virus database records: 404779


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 106454
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 02:53:58

Infected Object Name Virus Name Last Action
C:\Documents and Settings\adminpds\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Microsoft\Plantillas\Normal.dot Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Microsoft\Word\Guardado con Autorrecuperación de Documento1.asd Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\cer t8.db Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\for mhistory.dat Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\Goo gleToolbarData\googlesafebrowsing.db Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\his tory.dat Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\key 3.db Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\par ent.lock Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\sea rch.sqlite Object is locked skipped

C:\Documents and Settings\adminpds\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\url classifier2.sqlite Object is locked skipped

C:\Documents and Settings\adminpds\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_219.wmdb Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\activitylog.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\dfsr.db Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\fsr.log Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\fsrtmp.log Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Messenger\ronaldguzmanm@hotmail.com \SharingMetadata\Working\database_64AC_D6DA_ACD6_A 638\tmp.edb Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows Live Contacts\ronaldguzmanm@hotmail.com\real\members.st g Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows Live Contacts\ronaldguzmanm@hotmail.com\shadow\members. stg Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\Cac he\_CACHE_001_ Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\Cac he\_CACHE_002_ Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\Cac he\_CACHE_003_ Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Application Data\Mozilla\Firefox\Profiles\0nafyl3s.default\Cac he\_CACHE_MAP_ Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\History\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\History\History.IE5\MSHist012007101120071 012\index.dat Object is locked skipped

C:\Documents and Settings\adminpds\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\adminpds\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\adminpds\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\FBARRETO\Local Settings\Temp\hsperfdata_FBARRETO\3696 Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\roguzman\Local Settings\Temporary Internet Files\Content.IE5\27OVU9A5\SHOW_VIDEO_FILE[1].exe Infected: Trojan-Downloader.Win32.Agent.auv skipped

C:\Program Files\Altiris\AClient\AClient.log Object is locked skipped

C:\Program Files\Altiris\Altiris Agent\Agents\InventoryRuleAgent\InventoryRuleCache .iad Object is locked skipped

C:\Program Files\Altiris\Altiris Agent\Software Delivery\pkgdlvlk.tmp Object is locked skipped

C:\Program Files\Altiris\Altiris Agent\Tasks\AeXTaskSchedulerLock\taskSchedulerLock .tmp Object is locked skipped

C:\temp\IMG64.tmp Object is locked skipped

C:\temp\Perflib_Perfdata_6b4.dat Object is locked skipped

C:\WINDOWS\CSC\00000001 Object is locked skipped

C:\WINDOWS\Debug\Netlogon.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped
armaggedon
12/10/07, 10:59:56
Hola ronald camilo g

El reporte de KAS online, solamente muetra una infección el la carpeta Temporary Internet Files, dejame decirte que lo que hay ahí son Temporales que deja al navegar con IE he incluso con Firefox o otro navegador que tengas...solamente debes pasarle el Ccleaner para eliminar esos archivos innecesarios....PERO!!! no te asustes si algún Antivirus detecte otra amenaza en la carpeta ya mensionada ya que son parásito de un nivel bajo.

Saludos
ronald camilo g
12/10/07, 11:07:15
:negar:ok bien entiendo pero lo que pasa que en esos archivos tengo un horse troyan que no se borra cada rato varia el nombre se borra pero vuelve y aparece un agent_troyan.dyc
axl456
12/10/07, 12:44:40
hola..

mira no te preocupes, apenas es un solo archivo infectado, realiza lo siguiente, descargate el FileAssasin (http://www.forospyware.com/t68195.html#post298547) y haces doble clic sobre el, en el cuadro de busqueda del programa copia exactamente esto:
C:\Documents and Settings\roguzman\Local Settings\Temporary Internet Files\Content.IE5\27OVU9A5\SHOW_VIDEO_FILE[1].exe

luego marcas la casilla de eliminar archivo y ejecutas el fileassassin.
ronald camilo g
12/10/07, 15:17:52
hola de nuevo yo que pena mira los borra, pero lo reinicio y vuelve y aparece el horse troyan el icono del caballito hay, me paso lo mismo con el killbox.exe :negar:
axl456
12/10/07, 23:09:01
hola..

en ese caso abre un tema en el foro oficial de hijackthis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/) y colocales un log de hijackthis (http://www.forospyware.com/t68195.html) para que te lo analicen..

una vez que te den respuesta alla indicale al moderador que te atienda que cierre este tema..

politicas del foro HJT (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/aviso-2.html)

© Copyright 2005 - 2008 InfoSpyware ® Todos los derechos reservados.
InfoSpyware Security Blog