buenas! tengo una problema con el trojano mencionado en el post. al iniciar windows me salta un pantalla de alerta de norton, diciendome que tengo un virus "trojan.linkoptimizer", elimino el archivo automaticamente y se crea otro coorelativo (EJ: el archivo es C:\windows\temp\tmpb3.tmp, lo borro y me salta otro mensaje con que tengo el mismo virus pero ahora en el archivo C:\windows\temp\tmpb4.tmp) he probado a pasarle infinidad de antivirus y nada, que puede hacer

Hola soth69:

Comienza siguiendo los primeros 9 pasos de Los 11 Pasos fundamentales de una buena eliminación (http://www.forospyware.com/t8.html)(aparte de las herramientas que se te sugieren en el paso 1 descarga tambien Ewido , los scan del paso 7 realizalos con Trend Micro y kaspersky)

Pega aquí el reporte que te genere Kaspersky

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.

Nos cuentas como te fue...

Buenas, tengo el mismo problema con el Trojan.Linkoptimizer.

Desactivé Restaurar el Sistema.

Reinicié en modo a prueba de fallos.

Borré todos los archivos temporales con el Disk Cleaner,
Todos los Registros de inicio extraños con el Reg Cleaner.
Todos los archivos en la carpeta c:/Windows/Temp/

Escanee todo el sistema con el Ewido, el Ad-Aware, el Spybot, el Spy Sweeper, el Nod32 y el Norton Antivirus 2006 (todos actualizados).

De todos ellos, solo el Norton detectó el archivo en la carpeta /temp/ como el Trojan.Linkoptimizer. En modo a Prueba de Fallos, lo puedo borrar, pero al iniciar, de nuevo aparece.

Por cierto que el dichoso Trojan.Linkoptimizer no aparece en la base de datos de Kapersky. Pero de todos modos hice un escaneo total, y nada.

Programé el Kill Box para que borrara al inicio la carpeta /windows/temp/ pero en el log dice # 4 [Delete on Reboot]
Path = c:/windows/temp
*This File could not be Deleted

Pero el dichoso Trojano no se vá.::stress::

Aca está la web donde Symantec describe las acciones del Troyano.
Traté de buscar dichos registros y archivos que supuestamente crea el Troyano, pero no los encontré.

Agradecería alguna otra sugerencia. Ahora pienso postear el log del Hijack en el foro correspondiente.

Buenas, tengo este problema, el Norton me detecta este Trojan.Linkoptimizer como un archivo xxxxxxxx.tmp en la carpeta c:/windows/temp/; al darle que lo elimine, de nuevo salta el mensaje pero con el nombre del archivo cambiado.

Ya seguí los pasos recomendados para eliminar los spywares, pero aun así no pude eliminarlo.

En modo a prueba de fallos puedo eliminar todos los archivos de la carpeta /temp/; limpie el registro, pasé el Nod32 el Norton 2006, el Ewido, Ad-aware, SpyBot, Spy Sweeper, incluso Kapersky online. Todos actualizados. Pero nada. Sigue allí.

Aca está el log del HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 22:51:33, on 30/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc. exe
C:\Archivos de programa\CyberLink\PowerCinema\Kernel\CLML_NTServi ce\CLMLServer.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.e xe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Free Download Manager\fdm.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\ARCHIV~1\Webshots\webshots.scr
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (http://www.google.es/)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 10\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Archivos de programa\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc. exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.e xe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\CLML_NTServi ce\CLMLServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

este es el link donde Symantec especifica las acciones del Troyano.
Trojan.Linkoptimizer - Symantec.com (http://www.symantec.com/security_response/writeup.jsp?docid=2006-082416-2803-99&tabid=2)

yo tmb hice lo mismo ( menos lo del kill box) y sigue igual...me estan dando ganas de tirar el sistema abajo pero de momento seguire peleandome con el virus este que segun en la pagina de symantec se quita tranquilamente con el norton....(pues menos mal) si consigo acabar con el, lo posteare.

un saludo y gracias por contestar a todos.

Hola A Todos:

soth69 , pega aquí tu Log de HijackThis , vamos a ver si podemos quitarlo de ahí.

En tu caso Gandalfeik igualmente puedes pegar tu log en el foro oficial de HijackThis.


Salu2

yo tmb hice lo mismo ( menos lo del kill box) y sigue igual...me estan dando ganas de tirar el sistema abajo pero de momento seguire peleandome con el virus este que segun en la pagina de symantec se quita tranquilamente con el norton....(pues menos mal) si consigo acabar con el, lo posteare.

un saludo y gracias por contestar a todos.

Bueno, yo también pensé eso. Incluso inicié el sistema desde el CD de Norton para un escaneo completo. Pero aún así no lo eliminó (es mas, ni siquiera lo detectó)... [1:40min desperdiciados]

También me llamó la atención el Ati2evxx.exe ::pensar:: pero como tengo una Tarjeta de Video Ati Radeon, supongo que es parte de su software.

¿Tú tienes una tarjeta de video Ati soth69?

Ya que sino, puede ser ese el ejecutable que buscamos.

Bueno, también gracias a los miembros del foro que nos ayudan a eliminar estos molestos bichos...

si tengo una ati x700

Hola :

Disculpen no haber contestado antes , no me había percatado de sus respuestas ::stress:: .

Gandalfeik

En cuanto a tu log no hay nada que indique infeccion , si esta pagina de inicio no la pusiste tu entonces dale "FIX Cheked":

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

Aquí esta el procedimiento:

Paso 1- Apaga el "Restaurar Sistema" (http://www.forospyware.com/showpost.php?p=45&postcount=2)

Paso 2- Reinicia e inicia en "Modo a prueba de fallos" (modo seguro) (http://www.forospyware.com/showpost.php?p=47&postcount=4)

Paso 3- Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a esta entrada:


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch



Paso 4- Usa el Disk Cleaner (http://www.forospyware.com/t42.html#post48) para limpiar cookies y temporales y RegSeeker (http://www.forospyware.com/t713.html#post2981) para limpiar el registro de Win.

Paso 5- Realiza un scan Online con Norton y pega aquí el reporte que te genere, esto con la finalidad de ver donde dice Norton que se encuentra el malware.

También me llamó la atención el Ati2evxx.exe::pensar::

En efecto esta aplicacion es legitima , no deben eliminarla, aquí les dejo información (http://www.hijackfree.org/es/processdetails/?id=375)

Salu2

si tengo una ati x700

soth69 Igualmente que a Gandalfeik , realiza el análisis con Norton para saber la ubicación del malware.

Salu2