PDA

Ver la Versión Completa : Problemas con defy.exe y otro troyanos

Mr.RamA
09/01/06, 15:44:03
HAlo, tengo un gran problema::Help:: despues de axesar a sitios de la red se me anexaron muchos spyware, muchos de ellos los quite con Arovax AntiSpyware SpyCatcher Ad-Aware SE Personal y con Norton; pero mi problema es que hay uno en especial ke se hace llamar defy setup.exe o defy.exe, y me sale un cuadro de dialo a casi cada 10segundos y es muy molesto y no se como quitarlo, tambien cuando el norton esta abilitado me salen cuadros de dialogo de alerta de virusy cierro uno y aparese otro de los mas comunes que me pone son:

Trojan.Desktophijack.B
Trijan.Alemod
W32.Looksky.A@mm
y esto con la direccion de C:\WINDOWS\sistem32\OLEEXT.dll , son muy molestos esos mensages y escaneo la pc con todos los programas que puse hace un rato pero no los elimina y se me pone lenta la maquina y pues no es bueno eso:killcomp:.

Bueno espero que alguien me diga que puedo hacer para sacar esas cosas de aqui sin tener que formatear la compu. Me despido y
Que Tengan Dulces Pesadillas::stress::
Nissan
09/01/06, 17:02:34
Revisa este enlace (http://www.forospyware.com/t4239.html).
Mr.RamA
09/01/06, 23:28:32
Halo otra ves, espero me puedan ayudar a ver ke puedo hacer para kitar a defy.exe y otros troyanos y spyware de .exe y .dll ,bueno
Que Tengan Dulces Pesadillas::stress::


Logfile of HijackThis v1.99.1
Scan saved at 22:12:03, on 09/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20001\winlogon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\sachostx.exe
C:\Archivos de programa\SpyCatcher\DeleteSatellite.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\inet20001\mm4.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\defy setup.exe
C:\WINDOWS\system32\dwwin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://mx.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: run=C:\WINDOWS\inet20001\winlogon.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {AB684C1C-F39C-223D-FE57-8CEBBF93CC3D} - C:\DOCUME~1\MALAQU~1\DATOSD~1\lessdart\POPIDLE.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F0ABB9BA-6E42-2665-A86E-970D7B4654F1} - C:\DOCUME~1\MALAQU~1\DATOSD~1\lessdart\POPIDLE.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [541buvv1] C:\WINDOWS\System32\541buvv1.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [browsehelpjugsbend] C:\Documents and Settings\All Users\Datos de programa\Wait active browse help\16active.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [internet film spam creative] C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\proxy hope.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [WinHound] C:\Archivos de programa\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Archivos de programa\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [GhostSurfDelSatellite] "C:\Archivos de programa\SpyCatcher\DeleteSatellite.exe"
O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Archivos de programa\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O4 - HKLM\..\RunOnce: [GhostSurfDelSatellite] "C:\Archivos de programa\SpyCatcher\DeleteSatellite.exe" nowait
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [tick exit] C:\DOCUME~1\MALAQU~1\DATOSD~1\Itchiso\showheck.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesmx.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesmx.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .xml: C:\Archivos de programa\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: Yahoo! Go Fish - http://download.games.yahoo.com/games/clients/y/zt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121887585656
O16 - DPF: {A16C2BF4-501E-45FA-8A14-F26E022D5E16} (MidRadioCtrl Class) - http://adweb.music-eclub.com/php/adweb.php3?aid=143&arg=win%2Fmrinste.cab&ptx=mratdl
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5F918B7-7C39-48BE-BF85-23A65F809F28}: NameServer = 200.4.48.10 200.4.48.5
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Archivos de programa\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
PatomaS
10/01/06, 04:45:01
Hola

No abras más mensajes con tu problema; uní el nuevo con el que ya tenías abierto y seguiremos aquí.

Parece que no estás usando firewall en tu sistema, te recomiendo esto:
Sygate Personal Firewall (http://www.infospyware.com/Firewall/)

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

Ver los archivos ocultos de tu sistema
Desactivar la restauración del sistema (http://www.forospyware.com/showpost.php?p=45&postcount=2)
Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.


Deberás marcar estas líneas en el Hijackthis para reparar:

F3 - REG:win.ini: run=C:\WINDOWS\inet20001\winlogon.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {F0ABB9BA-6E42-2665-A86E-970D7B4654F1} - C:\DOCUME~1\MALAQU~1\DATOSD~1\lessdart\POPIDLE.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [browsehelpjugsbend] C:\Documents and Settings\All Users\Datos de programa\Wait active browse help\16active.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [WinHound] C:\Archivos de programa\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Archivos de programa\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O4 - HKCU\..\Run: [tick exit] C:\DOCUME~1\MALAQU~1\DATOSD~1\Itchiso\showheck.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O16 - DPF: {A16C2BF4-501E-45FA-8A14-F26E022D5E16} (MidRadioCtrl Class) - http://adweb.music-eclub.com/php/adweb.php3?aid=143&arg=win%2Fmrinste.cab&ptx=mr atd l
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL


Si los encuentras, deberás borrar estos archivos y carpetas:

C:\WINDOWS\inet20001\ (borra esta carpeta)
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\sysldr32.exe


¿cónoces esto: C:\Documents and Settings\All Users\Datos de programa\MAGS THIS INTERNET FILM\?

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

Ad-aware SE
Disck Cleaner (http://www.forospyware.com/showpost.php?p=48&postcount=5)
Spybot Search and Destroy (http://spybot.dalnet.com.fr/spybotsd14.exe)
Microsoft AntiSpyware (http://download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe)
RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»


Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

© Copyright 2005 - 2008 InfoSpyware ® Todos los derechos reservados.
InfoSpyware Security Blog