Blog Registrarse Manuales Programas Glosario

Regresar   Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog


Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Respuesta
 
Enviar a: Herramientas
  post #1  
Antiguo 15/12/05, 12:53:30
Usuario
 
Registrado: dic 2005
Ubicación: Madrid
Mensajes: 6
Bien Urgente: Ayuda con troyano (Solucionado)

Hola, se me ha colado en el ordenador un troyano, que al principio me instalo spysherrif, pero lo elimine gracias a esta pagina, pero debe haber quedado algo que me secuestra la pagina de inicio, y cada cierto tiempo me abre una pagina de publicidad (no guarra, que es lo raro), pero me crea en favoritos enlaces a paginas guarras.
Tengo instalado un cliente de OfficeScan de Trend Micro, pero no encuentra nada, solo me alerta de que se encuentran infectados, netvl32.exe y netz.exe, y casi siempre me hace referencia al archivo mesdz.dll que no encuentro.
Asi que os mando el log obtenido con el HitJackThis y haber si me podeis echar una mano, gracias:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:17, on 15/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\Pccntmon.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZQ8136.EXE
C:\WINDOWS\system32\ntvb.exe
C:\WINDOWS\system32\ntts.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
D:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {C16A3BC1-3735-D21D-1A52-FEFF22B1C68D} - C:\WINDOWS\sysnb32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OEConf] OEConf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netxf.exe] C:\WINDOWS\system32\netxf.exe
O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [46.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [ntts.exe] C:\WINDOWS\system32\ntts.exe
O4 - HKLM\..\RunOnce: [ntvb.exe] C:\WINDOWS\system32\ntvb.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.uc3m.es
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD835BC-6D5E-4D4B-A684-CC8B2EBA2B76}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netzg.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
Responder Con Cita
InfoSpyware

  post #2  
Antiguo 15/12/05, 14:27:25
Avatar de ElRengo
Colaborador
 
Registrado: oct 2005
Ubicación: Argentina
Mensajes: 3.908
Re: Urgente: Ayuda con troyano

Buenas....realiza estos pasos,

-Apaga Restaurar Sistema

-Descarga las herramientas IEFix y DelpSGuard

-Inicia la PC en modo seguro

-Escanea la PC con algunos de estos antispywares (te recomiendo el ad-Aware, Spybot y SpySweeper)

-Ejecuta las herramientas que habias descargado

-Reinicia la PC

Nos cuentas


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #3  
Antiguo 15/12/05, 15:05:27
Usuario
 
Registrado: dic 2005
Ubicación: Madrid
Mensajes: 6
Re: Urgente: Ayuda con troyano

Hola, acabo de realizar lo que me has dicho, y mi pagina de inicio sigue igual. La pongo y entro en internet y me funciona. Pero cuando vuelvo abrir otro ventana del navegador, ya se me ha cambiado por about:blank, en la que aparece un buscador, y enlaces a viagra,....

Puede ser algo del registro? o que me hayan cambiado la pagina por defecto del explorer (about:blank)?
Responder Con Cita
  post #4  
Antiguo 15/12/05, 19:59:56
Avatar de GPastor
FS-Admin
 
Registrado: mar 2005
Ubicación: Lima - Perú
Mensajes: 22.227
Re: Urgente: Ayuda con troyano

Pega otro log de Hijackthis para ver como está ahora.

Saludos


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #5  
Antiguo 16/12/05, 11:25:24
Usuario
 
Registrado: dic 2005
Ubicación: Madrid
Mensajes: 6
Atención Re: Urgente: Ayuda con troyano

Ahora se encuentra asi.


Logfile of HijackThis v1.99.1
Scan saved at 16:24:18, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntvb.exe
C:\WINDOWS\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\appoi.exe
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\TEMP\VD3CD0.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\TmListen.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
D:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {C16A3BC1-3735-D21D-1A52-FEFF22B1C68D} - C:\WINDOWS\sysnb32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OEConf] OEConf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netxf.exe] C:\WINDOWS\system32\netxf.exe
O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [46.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [ntts.exe] C:\WINDOWS\system32\ntts.exe
O4 - HKLM\..\Run: [iedz.exe] C:\WINDOWS\iedz.exe
O4 - HKLM\..\Run: [appoi.exe] C:\WINDOWS\appoi.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.uc3m.es
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD835BC-6D5E-4D4B-A684-CC8B2EBA2B76}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntvb.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\NTRtScan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\TmListen.exe
Responder Con Cita
  post #6  
Antiguo 16/12/05, 12:13:48
Avatar de GPastor
FS-Admin
 
Registrado: mar 2005
Ubicación: Lima - Perú
Mensajes: 22.227
Re: Urgente: Ayuda con troyano

No te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mesdz.dll/sp.html#93256

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {C16A3BC1-3735-D21D-1A52-FEFF22B1C68D} - C:\WINDOWS\sysnb32.dll

O4 - HKLM\..\Run: [OEConf] OEConf.exe

O4 - HKLM\..\Run: [netxf.exe] C:\WINDOWS\system32\netxf.exe
O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [46.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
O4 - HKLM\..\Run: [47.tmp.exe] C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
O4 - HKLM\..\Run: [ntts.exe] C:\WINDOWS\system32\ntts.exe
O4 - HKLM\..\Run: [iedz.exe] C:\WINDOWS\iedz.exe
O4 - HKLM\..\Run: [appoi.exe] C:\WINDOWS\appoi.exe

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntvb.exe

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\mesdz.dll
C:\WINDOWS\sysnb32.dll
OEConf.exe
C:\WINDOWS\system32\netxf.exe
C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
C:\WINDOWS\system32\ntts.exe
C:\WINDOWS\iedz.exe
C:\WINDOWS\appoi.exe
C:\WINDOWS\system32\ntvb.exe

6.- Pasa el Disk Cleaner para limpiar cookies y temporales

7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

8.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

9.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #7  
Antiguo 16/12/05, 13:27:43
Usuario
 
Registrado: dic 2005
Ubicación: Madrid
Mensajes: 6
Atención Re: Urgente: Ayuda con troyano

Hola, he seguido tus pasos, aunque te comento no he podido borrar los siguientes ficheros que me habias dicho que borrase en el paso 5, porque no existen (he puesto mostrar ocultos y mostrar archivos ocultos del sistema).

C:\Windows\sysnb32.dll
C:\Windows\system32\netxf.exe
C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\46.tmp.exe
C:\DOCUME~1\vtajuelo\CONFIG~1\Temp\47.tmp.exe
C:\Windows\system32\ntts.exe
C:\Windows\iedz.exe

He reiniciado y parece que mi problema esta arreglado, pero por si las moscas, te mando el log del Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:27:16, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\Pccntmon.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\TmListen.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\BMBBF1.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uc3m.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.uc3m.es
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD835BC-6D5E-4D4B-A684-CC8B2EBA2B76}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\NTRtScan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\TmListen.exe
Responder Con Cita
  post #8  
Antiguo 16/12/05, 14:17:24
Avatar de GPastor
FS-Admin
 
Registrado: mar 2005
Ubicación: Lima - Perú
Mensajes: 22.227
Re: Urgente: Ayuda con troyano

Bien, solo falta eliminar este archivo.

C:\WINDOWS\TEMP\BMBBF1.EXE

Si no se deja eliminar usa el Killbox para que lo elimine al reiniciar.

Luego vas a Inicio-->Ejecutar y escribe %temp% y elimina todo el contenido de esa carpeta, ¡¡¡OJO!!! no elimines la carpeta, solo su contenido.

Ya nos contarás como te fue.

Saludos


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #9  
Antiguo 18/12/05, 14:35:53
Usuario
 
Registrado: dic 2005
Ubicación: Madrid
Mensajes: 6
Sonrisa Re: Urgente: Ayuda con troyano

Perfecto! Muchas gracias, ya se ha eliminado.
Responder Con Cita
Respuesta

Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes

BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está desactivado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado


Temas Similares
Tema Autor Foro Respuestas Último mensaje
Hola AYUDA CON URGENCIA (Solucionado) edinjo Temas Solucionados 8 16/12/05 20:08:44
Ayuda Con El Virus W32@algo Asi (Solucionado) pablocostantino Temas Solucionados 2 25/11/05 13:49:16
Ayuda con WinFixer (solucionado) calcatala Temas Solucionados 2 02/09/05 08:39:53
Gracias y ayuda con otra PC con About Blank (solucionado) VMVC Temas Solucionados 2 09/05/05 19:21:09
Ayuda con HijackThis v1.99.1 (solucionado) By-Eugen35 Temas Solucionados 3 31/03/05 18:53:02




Todas las horas son GMT -4. La hora es 17:57:43.


 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31