Cuando arranco el pc el kaspersky me detecta un virus llamado Trojanwin32 Agent.rk en Archivos de Programa\Archivos comunes\System\agwk.exe y despues en agwk.exe proceso. No me deja ni desinfectarlo ni borrarlo ni renombrarlo. Ni siquiera puedo borrar el agwk.exe en modo seguro. Ya no se que hacer.
Log:
Logfile of HijackThis v1.99.1
Scan saved at 9:38:18, on 08/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Crazy Browser\Crazy Browser.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{227CF884-FC37-4FF8-8491-32A364240F47}: NameServer = 62.42.230.24,62.42.63.52
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

Gracias de antemano

Hola y Bienvenid@ a Forospyware!


El log no muestra nada, de todos modos prueba lo siguiente:


- Descarga el[*]Killbox


- Copia y pega la siguiente entrada en el Killbox donde dice "Full Path of File to Delete", marca la opción que dice "Delete on Reboot" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\Archivos de Programa\Archivos comunes\System\agwk.exe


Vuelve a hacer el chequeo con el kaspersky y me cuentas como te fue




Salu2

He probado lo q me has dicho. Y no se ha solucionado. El troyano ahora esta en ldv.exe en la misma carpeta hice lo mismo y pasa a rJv.exe en la misma carpeta.
Por cierto el Kaspersky lo llama: Trojanwin32 Agent.rk y luego igual pero acabado en rp
No se que hacer.
Gracias

Haz un chequeo con el kaspersky online y deja acá el reporte



Salu2

He pasado el kaspersky log:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Saturday, September 09, 2006 9:06:57 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 9/09/2006
Kaspersky Anti-Virus database records: 222084
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\CESAR\CONFIG~1\Temp\

Scan Statistics:
Total number of scanned objects: 13769
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:18:05

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{4C7D25 E4-B165-4E81-9D61-1A07BBE2048B}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\kav2.tmp Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\CESAR\CONFIG~1\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\DOCUME~1\CESAR\CONFIG~1\Temp\Cookies\index.dat Object is locked skipped
C:\DOCUME~1\CESAR\CONFIG~1\Temp\Historial\History. IE5\index.dat Object is locked skipped

Scan process completed.

Tambien he pasado el panda active scan. Log:
Incidencia Estado Elemento

Adware:adware/ideskbar No desinfectado c:\windows\system32\drivers\zpmodemnt.sys
Virus:Eicar.Mod Renombrado C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar.html

y epy sweeper me dice que tengo adware idesk en c:\windows\system32\drivers\zpmodemnt.sys

No se que hacer.
Gracias

Pues ciertamente es raro, los archivos no muestran nada


Haz un chequeo profundo con tu propio kaspersky (el que tienes instalado) en modo a prueba de fallos y luego en modo normal a ver si logras obtener alguna infección en su chequeo

De ser así, copia la ubicación exacta (si se muestra) de dicha infección a ver como nos va



Salu2

No detecta nada. Solo salta de forma automatica al arrancar el pc en modo normal. Siempre en la misma ubicacion: C:\Archivos del Programa\Archivos Comunes\System\ ldv.exe o cYh.exe...... *.exe
Intento desinfectar y si no puede borrar.
No puede ni borrar ni renombrar por error E/S.
Luego sale advertencia de Trojan.win32.Agent.rk o .rp en proceso (nombre).exe
He intentado con programas como blbeta.exe de fsecure o sophos root para ver los procesos q arranca y no me deja me dice que faltan privilegios o algo asi, pero mi usuario es administrador.
Tambien he mirado en google pero son todo paginas extranjeras y no entiendo bien:
http://www.google.es/search?q=trojan.win32.agent.rk&hl=es&lr=&start=0&s a=N
Me estoy volviendo loco.
Esto sigue igual.
Gracias por la atencion prestada

Descarga, instala y actualiza el Spyware Doctor, luego chequea tu sistema con ese programa, primero en modo normal y luego en modo a prueba de fallos


Me cuentas como te fue



Salu2

26 infecciones:

Resultados del anᬩsis:
Anᬩsis realizado: 11/09/2006 9:48:02
Anᬩsis detenido: 11/09/2006 9:56:29
Objetos analizados: 102291
Objetos encontrados: 26
Encontrados y excluidos: 0
Herramientas utilizadas: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Nombre de la infecci��b> Ubicaci��b> Riesgo
Caishow HKCR\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99} Elevado
Caishow HKCR\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}## Elevado
Caishow HKCR\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32 Elevado
Caishow HKCR\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32## Elevado
Caishow HKCR\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32##ThreadingModel Elevado
Caishow HKLM\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99} Elevado
Caishow HKLM\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}## Elevado
Caishow HKLM\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32 Elevado
Caishow HKLM\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32## Elevado
Caishow HKLM\Software\Classes\CLSID\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99}\InprocServer32##ThreadingModel Elevado
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon##System Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT## Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT##DisplayName Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT##ErrorControl Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT##Start Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT##Type Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum## Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum##0 Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum##Count Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum##INITSTARTFAILED Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Enum##NextInstance Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Security Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Security## Alto
Trojan.Qhosts HKLM\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSN TDRVNT\Security##Security Alto

Esas son entradas del registro nada mas, encontró algún ejecutable infectado?


Hiciste el chequeo en ambos modos (normal y modo seguro)?



Salu2