Hola, hace un tiempo le entró este troyano (Troyano Win32/Zapchast) al pc de mi hna, que segun el Nod32 se encuentra en la memoria operativa y no tengo idea de como sacarlo. Agradezco cualquiera ayuda de anticipado.

Saludos
Surcouf.

Holay bienvenido al foro
Sigue los siguientes 7 pasos:
1. - Apaga Restaurar Sistema si tienes Windows ME o XP.
2. - Entra en Modo Seguro (Modo a Prueba de Fallos).
3. - Escanea con:

• Tu antivirus actualizado (todos tus discos locales).
• Spybot S&D 1.4 actualizado (opcion "Analizar problemas").
• Ad-aware 1.06 SE Personal actualizado (Full Scan).
• Arovax Antispyware (opcion "scan selected folders" activada, y seleccionando los discos locales).

4. - No salgas del modo seguro. Has lo siguiente en cada cuenta de usuario:

• Cierra todas las ventanas.
• Pasa el CCleaner.
• Limpia el registro con RegSeeker (manual).

5. - Inicia en modo normal y escanea con:

• Ewido On-Line.
• Kaspersky On-Line.

>>> Guardas los reportes de cada scanner on-line.
6. - Reactiva Restaurar Sistema.
7. - Peganos los reportes de los escanners on-line obtenidos en el punto 5 en este mismo tema para que los analizemos (pega los 2 juntos, no por separado).

Nos cuentas

Salu2

Aqui van los reportes:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Saturday, August 26, 2006 8:46:32 PM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 27/08/2006
Kaspersky Anti-Virus database records: 218576
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 31464
Number of viruses found: 2
Number of infected objects: 2 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:37:59

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\ESET\infected\AE4FFKBA.NQF Infected: Trojan-Downloader.Win32.Obfuscated.a skipped
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Configuración local\Temp\Perflib_Perfdata_168.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \cert8.db Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \flashgot.log Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \formhistory.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \history.dat Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \key3.db Object is locked skipped
C:\Documents and Settings\Maclynd\Datos de programa\Mozilla\Firefox\Profiles\zbckztg2.default \parent.lock Object is locked skipped
C:\Documents and Settings\Maclynd\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Maclynd\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\oakley.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\ishost.exe Object is locked skipped
C:\WINDOWS\system32\ismon.exe Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\winkgu32.dll Object is locked skipped
C:\WINDOWS\system32\__delete_on_reboot__i_x_t_0_._ d_l_l_ Infected: Trojan-Downloader.Win32.Zlob.aex skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.



__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Maclynd\Cookies\maclynd@atdmt[1].txt
Risk: Medium

Name: Downloader.Zlob.aex
Path: C:\WINDOWS\system32\__delete_on_reboot__i_x_t_0_._ d_l_l_
Risk: High

Segui los siguientes pasos:
1. - Entra en Modo Seguro (Modo a Prueba de Fallos)
2. - Borra el siguiente archivo:
C:\WINDOWS\system32\__delete_on_reboot__i_x_t_0_._ d_l_l_
Si no se deja borrar podes usar el KillBox (en el proximo inicio vacia la carpeta C:\!Killbox).
3. - Vacia la cuarentena del NOD32.
4. - Escanea con:

• NOD32 actualizado (todos tus discos locales).
• Spybot S&D 1.4 actualizado (opcion "Analizar problemas").
• Ad-aware 1.06 SE Personal actualizado (Full Scan).

5. - No salgas del modo seguro. Has lo siguiente en cada cuenta de usuario:

• Cierra todas las ventanas.
• Pasa el CCleaner.
• Limpia el registro con RegSeeker (manual).

6. - Inicia en modo normal y escanea con:

• Ewido On-Line.
• Kaspersky On-Line.

>>> Guardas los reportes de cada scanner on-line.
7. - Peganos los reportes de los escanners on-line obtenidos en el punto 6 en este mismo tema para que los analizemos (pega los 2 juntos, no por separado).

Salu2

Ahora si está solucionado.
Gracias por la ayuda
Surcouf