Hola!

Creo que necesito ayuda con un troyano horrible que no me deja la vida en paz. Mi pc tiene algunos sintomas como que se apaga repentinamente, se le han entrado cosas como publicidad, en la barra de herramientas hay un barra de busqueda horrible que yo no instale, y lo mas molesto de todo es que NOD32 y AVG me muestran alertas de amenazas de troyanos que intentan entrarse cada minuto si mi computador esta en internet. Si no esta en internet muestra alertas cada 30 minutos o hasta mas. Si lo estoy revisando con algun antivirus, en el momento en que el antivirus pasa por los archivos infectados se disparan las alertas y es imposible tener el computador prendido, se vuelve loco, o se paraliza y a veces se apaga solo.

Lo he revisado con: Clamwin y me dio un reporte de 142 archivos inefectados, pero las alertas siguen apareciendo. Con AVG salieron 134 troyanos con los siguientes nombres:
* Trojan horse downloader Generic 2 LEN (132 de 134)
* Trojan horse PSW Generic 2 FCA (1 de 134)
* Trojan horse proxy. EGN (1 de 134)

pero AVG no dio ninguna opcion para eliminarlos. Tambien use Spybot y Ad-aware y en teoria se reparo todo pero las alertas siguen saliendo. El otro que use fue NOD 32 pero no encontro nada.

Las alertas, muchas tienen solucion, sobretodo las de AVG, pero las de NOD 32 nunca tienen solucion.

AVG me mostro la ubicacion de los trojanos, es una carpeta en C que se llama System Volume Information pero cuando la voy a buscar en C no la veo y mostrando carpetas ocultas, tampoco aparece.

Como ya no se que mas hacer, acudo a este foro milagroso esperando que ustedes que son tan expertos en estas cosas me puedan ayudar.

El log de hijackthis que he obtenido es el siguiente:

Logfile of HijackThis v1.97.7
Scan saved at 16:49:46, on 06/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\lssc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\kybrdff_16.exe
C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
C:\dfndrff_16.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Documents and Settings\Personal\Mis documentos\Mis archivos recibidos\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [M1cr0s0ftf DDEs C0ntr01] Xsyn.pif
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [tutcdchk] c:\windows\system32\tutcdchk.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_16.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_16.exe
O4 - HKLM\..\RunServices: [M1cr0s0ftf DDEs C0ntr01] Xsyn.pif
O4 - HKLM\..\RunServices: [tutcdchk] c:\windows\system32\tutcdchk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Shareaza] "C:\Archivos de programa\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h
O4 - HKCU\..\Run: [tutcdchk] c:\windows\system32\tutcdchk.exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Archivos de programa\Spy Emergency 2005\SpyEmergency.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Norton GoBack.lnk = C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: Investigador (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O12 - Plugin for .htm: C:\Archivos de programa\Netscape\Netscape Browser\PLUGINS\npTrident.dll


No me queda nada mas que agradecerles. Estoy atenta y pacientemente espero por una respuesta.

Chau!
malegria.

Hola malegria,

Realizá estos pasos:

*Desinstalá desde Agregar o quitar programas:

- Spy Emergency 2005

*Realizá una visíta por Windows Update y actualizá tu sistema.

*Descargá las siguientes herramientas:Ad-Aware SE Personal+Manual, Regseeker+Manual, KillBox, Disk Cleaner

Apagá el "Restaurar Sistema"

Activá la opción Ver Archivos Ocultos

Reiniciá en Modo a Prueba de Fallos

Cerrá todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [M1cr0s0ftf DDEs C0ntr01] Xsyn.pif

O4 - HKLM\..\Run: [tutcdchk] c:\windows\system32\tutcdchk.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_16.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_16.exe

O4 - HKLM\..\RunServices: [M1cr0s0ftf DDEs C0ntr01] Xsyn.pif

O4 - HKLM\..\RunServices: [tutcdchk] c:\windows\system32\tutcdchk.exe

O4 - HKCU\..\Run: [tutcdchk] c:\windows\system32\tutcdchk.exe

O4 - HKCU\..\Run: [SpyEmergency] "C:\Archivos de programa\Spy Emergency 2005\SpyEmergency.exe"

O10 - Broken Internet access because of LSP provider 'imon.dll' missing

Sin reiniciar, buscá y eliminá estos archivos/carpetas, si no se dejan eliminar descargá el programa "Killbox" y seguí las indicaciones del mensaje, copiá y pegá los archivos para que los elimine al reiniciar (En caso de no eliminarse con KillBox, utilizá la opción que dice ¨Delete on Reboot¨).

Xsyn.pif

c:\windows\system32\tutcdchk.exe

C:\\kybrdff_16.exe

C:\\dfndrff_16.exe

C:\Archivos de programa\Spy Emergency 2005 <-- Eliminá la carpeta completa

Pasá el Disk Cleaner para limpiar cookies y temporales

Pasá el Regseeker para limpiar el registro, pásalo hasta que no quede nada para eliminar.

Pasá el Ad-Aware SE actualizado

Reiniciá la maquina y pegá otro log de Hijackthis acá mismo, luego nos contás como te fué.

Suerte

Hola! ya hice todo lo que me dijeron! tengo el nuevo log:

Logfile of HijackThis v1.97.7
Scan saved at 14:50:55, on 07/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\lssc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Documents and Settings\Personal\Mis documentos\Mis archivos recibidos\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Norton GoBack.lnk = C:\Archivos de programa\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: Investigador (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .htm: C:\Archivos de programa\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157645658703

Vamos a ver como me va y te cuento.
Mil gracias heavyman!!!!!

__________________________________________________ __________
Te cuento:

Revise como funciono la compu despues de los cambios y nada, siguen las alertas de AVG. Pero las de NOD32 ya no.

Yo no se mucho de esto pero debe haber un puerto abierto o algo asi que le permite la entrada a los troyanos... =(

Ahora si, no se que hacer... Pero en todo caso Gracias!!
Su ayuda ha sido valiosisima para mi.
Con paciencia espero su respuesta. Aunque temo que, como dicen las politicas, por estar con respuestas este mensaje, no sea tomado en cuenta.

Cruzo mis dedos!!
y nuevamente gracias!