ayuda como puedo desinfectar este troyano

**martinf007** · 20/04/09, 20:08:50

hola bueno tengo un troyano infectado y nose que hacer no puedo eliminarlo es este el reporte de mi antivirus :

a-squared Anti-Malware - Versión 4.0
Última actualización: 19/04/2009 12:58:19

Configuraciones del examen:

Objetos: Memoria, Trazas, Galletas, C:\, D:\
Examen de archivos: Activado
Heurística: Desactivado
Examen ADS: Activado

Inicio del examen: 19/04/2009 14:00:29

[260] C:\WINDOWS\system32\KERNEL32.dll detectado: Trojan.Win32.Agent!IK
[284] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[328] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[340] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[496] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[556] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[592] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[672] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[836] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[936] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
[1160] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
c:\archivos de programa\ares detectado: Trace.Directory.Ares!A2
c:\archivos de programa\ares\data detectado: Trace.Directory.Ares!A2
c:\archivos de programa\ares\data\gui detectado: Trace.Directory.Ares!A2
c:\archivos de programa\ares\data\gui\general detectado: Trace.Directory.Ares!A2
c:\archivos de programa\ares\data\gui\osthemes detectado: Trace.Directory.Ares!A2
c:\archivos de programa\ares\lang detectado: Trace.Directory.Ares!A2
c:\documents and settings\administrador\menú inicio\programas\ares detectado: Trace.Directory.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst --> InstallDate detectado: Trace.Registry.TupInsight 3.2!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst --> InstallLocation detectado: Trace.Registry.TupInsight 3.2!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst --> InstallSource detectado: Trace.Registry.TupInsight 3.2!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst --> InstallSourceFile detectado: Trace.Registry.TupInsight 3.2!A2
c:\documents and settings\administrador\escritorio\ares.lnk detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\ares.exe detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\asyncex.ax detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\chatserver.exe detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\blocked.txt.sample detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\chanlistfilter.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\buttonsbitmap.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\chat.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\emotic.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\libbig.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\logo.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\mimesmall.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\mshareset.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\prefs.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\searchpnl.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\searchstars.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\tabssmall.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\gui\general\transfer.bmp detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\homepage.url detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\data\p2pfilter.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\arabic.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\czech.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\dutch.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\french.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\german.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\italian.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\japanese.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\polish.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\slovak.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\spanish.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\swedish.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\lang\turkish.txt detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\libfaad2.dll detectado: Trace.File.Ares!A2
c:\archivos de programa\ares\mp3source.ax detectado: Trace.File.Ares!A2
c:\documents and settings\administrador\menú inicio\programas\ares\ares.lnk detectado: Trace.File.Ares!A2
c:\documents and settings\administrador\menú inicio\programas\ares\homepage.lnk detectado: Trace.File.Ares!A2
Value: HKEY_CLASSES_ROOT\arlnk --> URL Protocol detectado: Trace.Registry.Ares Galaxy P2P Plus!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\arlnk --> URL Protocol detectado: Trace.Registry.Ares Galaxy P2P Plus!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3E0FA044-926C-42D9-BA12-EF16E980913B}\InprocServer32 --> ThreadingModel detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\bounds --> Main.Height detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\bounds --> Main.Left detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\bounds --> Main.Maximized detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\bounds --> Main.Top detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\bounds --> Main.Width detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Columns\Transfers --> Download detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Columns\Transfers --> Queue detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Columns\Transfers --> Upload detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Data --> JI.AresNet1 detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Positions\Transfers --> Download detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Positions\Transfers --> Queue detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares\Positions\Transfers --> Upload detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> ChatRoom.AutoAddToFavorites detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> ChatRoom.ShowJP detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> ChatRoom.ShowTaskBtn detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Extra.ShowActiveCaption detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> General.AutoConnect detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> General.AutoStartUp detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> General.Language detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> General.LastLibraryMode detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> General.MSNSongNotif detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> GUI.LastChatRoomBrowse detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> GUI.LastLibrary detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> GUI.LastPMBrowse detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> GUI.LastSearch detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Hashing.Priority detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Network.DHTID detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Personal.GUID detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Playlist.PreviousM3UApp detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Playlist.PreviousWAXApp detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> PrivateMessage.AllowBrowse detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> PrivateMessage.AwayMessage detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.CAvgTime detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.CDnSpeed detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.CFRTime detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.CTtUptime detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.CUpSpeed detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.HasLQCa detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.LstCaQuery detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Stats.LstCaQueryInt detectado: Trace.Registry.Ares!A2
Value: HKEY_CURRENT_USER\Software\Ares --> Transfer.ServerPort detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E0FA044-926C-42D9-BA12-EF16E980913B}\InprocServer32 --> ThreadingModel detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> DisplayName detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> DisplayVersion detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> Publisher detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> UninstallString detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> URLInfoAbout detectado: Trace.Registry.Ares!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ares --> URLUpdateInfo detectado: Trace.Registry.Ares!A2
C:\Documents and Settings\Default User\7zS4EC.tmp\WinuEFiles.exe detectado: Riskware.RiskTool.Win32.HideWindows!IK
C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
C:\WINDOWS\system32\spoolsv.exe detectado: Virus.Win32.Patched.B!IK
C:\WINDOWS\Temp\np12.tmp detectado: Trojan.Win32.Agent!IK
C:\WINDOWS\Temp\np13.tmp detectado: Trojan.Win32.Agent!IK
C:\WINDOWS\Temp\np16.tmp detectado: Trojan.Win32.Agent!IK
C:\WINDOWS\Temp\npE.tmp detectado: Trojan.Win32.Agent!IK

Examinados

Archivos: 39441
Trazas: 297543
Galletas: 1
Procesos: 13

Encontrados

Archivos: 7
Trazas: 98
Galletas: 0
Procesos: 11
Claves del registro: 0

Fin del examen: 19/04/2009 15:38:06
Duración del examen: 1:37:37

bueno lo del ares eso si no lo kiero eliminar porque me an dicho que eso no son virus pero que algunos antivirus lo detectan como virus bueno espero su ayuda gracias.

**Anoika** · 20/04/09, 20:12:13

martinf007

Realiza estos pasos , si no puedes con uno lo saltas y continuas

Paso.- 1

Descarga y, o actualiza estas herramientas pero no la ejecutes aún.

Malwarebytes.

Ccleaner

Apaga restaurar sistema

Inicia en Modo Seguro.

Paso .-2
Ejecuta.

Malwarebytes.
En su opción de examen completo , dándole al finalizar en"Quitar todo lo encontrado"

Ccleaner.
Usando primero su opción "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción "Registro" para limpiar todo el Registro de Windows haciendo Copia de Seguridad.

Paso.-3

Reinicias tu ordenador en Modo Normal.

Realiza un Análisis Online con Panda Active Scan2 como lo indica su Manual

Activa la opción Restaurar Sistema.

En tu próximo Post nos cuentas los resultados junto a los reportes generados por, MalwareByte's y Panda Online Scanner.

Saludos.

**martinf007** · 20/04/09, 20:17:50

hola anoika gracias por responder mi problema pero tengo un problema en restaurar sistema ya lee el manual y no puedo poner click en deshabilitar restaurar sistema dise supervisado

**Anoika** · 20/04/09, 20:23:18

No problem , te saltas ese paso y continuas con los demás

**martinf007** · 20/04/09, 21:53:57

ANALIZIS DEL MALWAREBYTES ANTIMALWARE:

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2009
Windows 5.1.2600 Service Pack 2

20/04/2009 20:25:50
mbam-log-2009-04-20 (20-25-50).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 81534
Tiempo transcurrido: 16 minute(s), 31 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

ANALIZYS DEL ACTIVESCAN:

ANALYSIS: 2009-04-20 20:49:50
PROTECTIONS: 0
MALWARE: 2
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
01665133 HackTool/NewPassword.A HackTools No 0 No No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\A0001160.exe[Pass.exe][Contraseña.hta]
01665134 HackTool/NewPassword.A HackTools No 0 No No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\A0001160.exe[Pass.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent Location &
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description &
;===================================================================================================================================================================================
184380 MEDIUM MS08-002 &
184379 MEDIUM MS08-001 &
182048 HIGH MS07-069 &
182046 HIGH MS07-067 &
182043 HIGH MS07-064 &
179553 HIGH MS07-061 &
176382 HIGH MS07-057 &
176383 HIGH MS07-058 &
170911 HIGH MS07-050 &
170907 HIGH MS07-046 &
170906 HIGH MS07-045 &
170904 HIGH MS07-043 &
164915 HIGH MS07-035 &
164913 HIGH MS07-033 &
164911 HIGH MS07-031 &
160623 HIGH MS07-027 &
157262 HIGH MS07-022 &
157261 HIGH MS07-021 &
157260 HIGH MS07-020 &
157259 HIGH MS07-019 &
156477 HIGH MS07-017 &
150253 HIGH MS07-016 &
150249 HIGH MS07-013 &
150248 HIGH MS07-012 &
150247 HIGH MS07-011 &
150243 HIGH MS07-008 &
150242 HIGH MS07-007 &
150241 MEDIUM MS07-006 &
108742 MEDIUM MS06-006 &
;===================================================================================================================================================================================

ESPERO TU RESPUESTA GRACIAS

**Anoika** · 20/04/09, 22:03:28

Pues el malware byte elimino solo una infección

ahora elimina la cuarentena del dr web siguiendo esta ruta:

C:\Documents and Settings\Administrador\DoctorWeb\Quarantine..

Y me comentas si terminaron las alertas de tu antivirus.

**martinf007** · 20/04/09, 22:08:48

ya elimine la cuarentena pero tengo una pregunta sigo analizando con antivirus online? porque yo kisiera desinfectar este archivo:
[1160] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
pero si ya se elimino bueno.... bueno ahora que hago gracias

**Anoika** · 20/04/09, 22:16:21

Originalmente publicado por martinf007

ya elimine la cuarentena pero tengo una pregunta sigo analizando con antivirus online? porque yo kisiera desinfectar este archivo:
[1160] C:\WINDOWS\system32\kernel32.dll detectado: Trojan.Win32.Agent!IK
pero si ya se elimino bueno.... bueno ahora que hago gracias

Según los reportes tu pc esta libre de infecciones

pero si deseas estar mas tranquilo realiza un nuevo escan pero esta ves con kasperzky on line.

Hombre prevenido vale por dos.

ayuda como puedo desinfectar este troyano

Herramientas

ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano

Re: ayuda como puedo desinfectar este troyano