NataliaEsteban
03/11/06, 17:25:56
Hola buenos días,
Tengo un problema, se nos ha metido un troyano en el servidor pone en todas las carpetas de red los siguientes ficheros: setup.exe, autorun.ini y smmsb.exe y se va propagando a todos los usuarios.
Además se guarda en el perfil de cada usuario en configuración local\temp los siguientes ficheros:
92 exssd 32.i
77 exssd 32.i
fnames.txt
lnames.txt
domains.txt
27 exmodul32e.j
14 exmodul32c.j
hdd.g.exe.conf
injs.m.exe.conf
ssd32.i.exe.conf
Los usuarios infectados envian spam constante mente.
¿Alguna idea?
Gracias,
Un saludo.
Astareth
03/11/06, 17:32:32
Hola NataliaEsteban:
Te doy la bienvenida al foro:Bien:
Comienza siguiendo los primeros 9 pasos de Los 11 Pasos fundamentales de una buena eliminación (http://www.forospyware.com/t8.html)(aparte de las herramientas que se te sugieren en el paso 1 descarga tambien Avg Antispyware , los scan del paso 7 realizalos con Trend Micro y kaspersky)
Pega aquí el reporte que te genere Kaspersky
Salu2:adios:
NataliaEsteban
03/11/06, 17:44:48
Hola Astareth,
Muchas gracias por contestar, la verdad que ya he hecho todo lo que me dices, el caso es que se limpia y se vuelve a propagar y cada vez genera más archivos:
upd741.exe, setup.exe, upd101.exe exhdd.g.exe, 98exins.m.exe
¿alguna idea para eliminarlo?
Gracias.
;)
Astareth
03/11/06, 17:50:49
Hola Astareth,
Muchas gracias por contestar, la verdad que ya he hecho todo lo que me dices, el caso es que se limpia y se vuelve a propagar y cada vez genera más archivos:
upd741.exe, setup.exe, upd101.exe exhdd.g.exe, 98exins.m.exe
¿alguna idea para eliminarlo?
Gracias.
;)
Ok, pega aquí un log de HijackThis.
Para ejecutar HijackThis:
Descarga Hijack This , guardarlo en archivos del programa, descomprimelo y dale doble click al icono y le das click a Do a system scan and save log.
Si tienes dudas de como generar un log , mira este flash (http://www.infospyware.com/images/FL/GeneraLog.swf)
Salu2;)...
LotarioDeVoss
04/11/06, 15:31:31
Bueno me pasa el mismo problema que NataliaEsteban, mismos archivos, misma carpeta, misma forma de proceder. Los he eliminado a mano pero al poco vuelven a aparecer. En mi caso la diferencia es que al poco de aparcer me salta el Kaspersky con el siguiente mensaje:
C:\Documents and Settings\Alberto\Configuración local\Temp\1exmodul32e.j.exe Infectado Trojan-Proxy.Win32.Horst.le
C:\Documents and Settings\Alberto\Configuración local\Temp\4exmodul32e.j.exe Infectado Trojan-Proxy.Win32.Horst.le
Y asi sucesivamente con distintos numeros de exmodul32e, que son los mismos archivos que veo crearse en la carpeta temp.
El kaspersky los borra, vuelven a salir, pasado por todo el pc, pasado tambien el adware, y el spyboot, todo sigue igual.
Se agradecería alguna solución, he ido a pegar aqui el log del hijackthis tal como decis, pero veo arriba en las instrucciones que no se pegue aqui. ???
Saludos.
Astareth
04/11/06, 20:16:39
Hola LotarioDeVoss:
Se agradecería alguna solución, he ido a pegar aqui el log del hijackthis tal como decis, pero veo arriba en las instrucciones que no se pegue aqui. ???
A lo que se refiere esa regla en concreto es que no se deben de pegar logs , a menos de que algún miembro del equipo de Infospyware (http://www.forospyware.com/showgroups.php) te lo pida.
En este caso mejor sera que tu pegues tu log en el subforo de HijackThis (http://www.forospyware.com/foro-oficial-de-hijackthis-1-99-1/)
En el caso de NataliaEsteban no hay problema con que lo ponga aquí por que yo se lo pedi.
Suerte:Bien: