Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola!
No sé si es un problema tecnico (enchufes o asi), ya que al de 30 min mas o menos el PC se me ha apagado (2 veces ya) como cuando se va la corriente....

En propiedades de energia y tal lo tengo todo en no apagar nunca...

No sé que puede ser porque ayer me detectó el NORTON un trojano:

download.trojan

aqui dicen como eliminarlo , pero esta en ingles...

http://securityresponse.symantec.com...ad.trojan.html

estaba infectado el archivo :
ied_s7_7[1].cab

La ubicacion:

F:\WINDOWS\Archivos temporales de Internet\Content.IE5\HE74MV5W\ied_s7_7[1].cab

Pero el THE CLEANER no me lo reconocía!!!

Por otra parte el spyboot me reconoce pero no me quita el "CoolWebSearch"buscando por ahi me baje el "cwshredder" que se supone que lo destruye, pero ni siquiera me lo detecta ¿será porque lo tengo (el troyano) en un disco extraible y no va a esa unidad a analizarlo? (no da opciones para que le indique yo la ruta)

¡¡¡NO Sé si estas cosas influyen para lo que me sucede ahora de que se me apague!!!

ahora estoy en modo seguro y he pasado el hijackthis, este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 13:21:38, on 25/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\IGOIRU\Escritorio\programas Y manuales seguridad inet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zzGBK] E:\setup.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download All by FlashGet - F:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - F:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola!

En lo que respecta al troyano download.trojan he seguido las instrucciones en ingles de simantec que vienen a ser una obviedad y como no puedo entrar en propiedades de internet explorer, porque el archivo esta alojado en F: y no en C: que es desde donde yo opero, pues me he metido en F:/windows/archivos temporales de internet y me he cargado todo.
a ver qué hace esto ahora.

sigo buscando algo que me borre el "CoolWebSearch" y ya os dire si el pc se me vuelve a apagar....

Hola!
Mira yo uso como navegador el Maxthom,que te recomiendo,que traduce (como opcion) automaticamente las paginas web al abrirlas,asi que aqui tienes la traduccion de la pagina de symantec y espero te ayude.
Saludos
Com

Download.Trojan
Descubierto encendido: De junio el 08 de 2001
Último puesto al día encendido: De Noviembre El 30 De 2004 09:46:48







Download.Trojan conecta con el Internet y descarga otros caballos o componentes de Trojan.


Variantes: Trojan Horse
Tipo: Trojan Horse
Longitud De la Infección: varía



Sistemas Afectados: Windows 95, Windows 98, Windows NT, Windows 2000, Windows.xp, Windows Yo







Definiciones Del Virus (Updater Inteligente) *
De junio el 11 de 2001


** De las Definiciones Del Virus (™LiveUpdate )
De junio el 13 de 2001


*
Las definiciones inteligentes de Updater se lanzan diariamente, pero requieren transferencia directa y la instalación manuales.
Chasque aquí para descargar manualmente.

**
Las definiciones del virus de LiveUpdate se lanzan generalmente cada miércoles.
Chasque aquí para las instrucciones en usar LiveUpdate.







Salvaje

Número de infecciones: 0 - 49
Número de sitios: 0 - 2
Distribución geográfica: Bajo
Contención de la amenaza: Fácil
Retiro: Fácil
Métrica De la Amenaza


Salvaje:
Bajo
Daños:
Bajo
Distribución:
Bajo





Download.Trojan hace el siguiente:

Va a un Web o a un ftp site específico que su autor creó y las tentativas de descargar Trojans nuevo, virus, gusanos, o sus componentes.
Después de que el Trojan descargue los archivos, los ejecuta.






La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":

Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un ftp server, telnet, y un servidor del Web. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras windows-based deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios del Web del vendedor.
Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
Entrene a los empleados para no abrir los accesorios a menos que los estén contando con. También, no ejecute el software que se descarga del Internet a menos que se haya explorado para los virus. Simplemente visitar un sitio comprometido del Web puede causar la infección si ciertas vulnerabilidades del browser no se remiendan.


Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.


Inhabilite El Restore Del Sistema (Windows Me/XP).
Ponga al día las definiciones del virus.
Recomience la computadora en el modo seguro (Windows 95/98/Me/2000/XP) o el modo de VGA (Windows NT).
Funcione una exploración completa del sistema y suprima todos los archivos detectados como Download.Trojan.
Despeje la historia y los archivos del Internet Explorer, si está necesitado.

Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.

1. Restore Del Sistema Que inhabilita (Windows Me/XP)
Si usted está funcionando Windows yo o Windows.xp, recomendamos que usted da vuelta temporalmente apagado a restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en su computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.

Windows previene programas exteriores, incluyendo programas del antivirus, de restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del restore del sistema. Consecuentemente, el restore del sistema tiene el potencial de restaurar un archivo infectado en su computadora, incluso después usted haya limpiado los archivos infectados de el resto de localizaciones.

También, una exploración del virus puede detectar una amenaza en la carpeta del restore del sistema aunque usted ha quitado la amenaza.

Para las instrucciones en cómo dar vuelta apagado a restore del sistema, lea su documentación de Windows, o uno de los artículos siguientes:
"cómo inhabilitar o permitir Windows yo restore del sistema"
"cómo dar vuelta apagado o girar a restore del sistema de Windows.xp"

Para la información adicional, y un alternativa a inhabilitar Windows restore del sistema, ve el artículo de la base de conocimiento de Microsoft, las "herramientas de Antivirus no puede limpiar archivos infectados en _ la carpeta del restore," identificación del artículo: Q263455.

2. Puesta al día de las definiciones del virus
La respuesta de la seguridad de Symantec prueba completamente todas las definiciones del virus para la garantía de calidad antes de que se fijen a nuestros servidores. Hay dos maneras de obtener las definiciones más recientes del virus:
LiveUpdate de funcionamiento, que es la manera más fácil de obtener definiciones del virus: Estas definiciones del virus se fijan a los servidores de LiveUpdate una vez que cada semana (generalmente el miércoles), a menos que haya un brote importante del virus. Para determinarse si las definiciones para esta amenaza están disponibles por LiveUpdate, refiera a las definiciones del virus (LiveUpdate).
Descargar las definiciones usando el Updater inteligente: Las definiciones inteligentes del virus de Updater se fijan el los días laborales de ESTADOS UNIDOS (de lunes a viernes). Usted debe descargar las definiciones del sitio del Web de la respuesta de la seguridad de Symantec e instalarlas manualmente. Para determinarse si las definiciones para esta amenaza están disponibles por el Updater inteligente, refiera a las definiciones del virus (Updater inteligente).

Las definiciones inteligentes del virus de Updater están disponibles: Leído "cómo poner al día la definición del virus archiva con el Updater inteligente" para las instrucciones detalladas.

3. Recomienzo de la computadora en modo seguro o modo de VGA
Para Windows 95, 98, yo, 2000, o los usuarios de XP, recomienzan la computadora en modo seguro. Para las instrucciones, refiera al documento, "cómo encender la computadora en modo seguro."
Para Windows NT 4 usuarios, recomienzan la computadora en modo de VGA.


4. Exploración para y suprimir los archivos infectados
Comience su programa del antivirus de Symantec y cerciórese de que está configurado para explorar todos los archivos.
Para los productos de consumo de Norton AntiVirus: Lea el documento, "cómo configurar Norton AntiVirus para explorar todos los archivos."
Para los productos de la empresa de Symantec AntiVirus: Lea el documento, "cómo verificar que un producto corporativo del antivirus de Symantec está fijado para explorar todos los archivos."
Funcione una exploración completa del sistema.
Si algunos archivos se detectan según lo infectado con Download.Trojan, cancelación del tecleo. Si su programa del antivirus de Symantec detecta algunos archivos infectados que no pueda suprimir, registre la localización del archivo y del nombre del archivo. Entonces haga uno del siguiente:
Si el archivo está en una localización con excepción del Internet temporal archiva la carpeta, recomienza la computadora en modo seguro una segunda vez. Después utilice a explorador de Windows, hojee a y suprima ese archivo particular. Una vez que se haga esto, recomience la computadora en modo Normal. Para las instrucciones, lea la sección en volver al modo Normal en el documento, "cómo encender la computadora en modo seguro."
Si el archivo está en el Internet temporal archiva la carpeta, anota la trayectoria entera y el nombre del archivo. Entonces enciéndase a la sección 5.

5. Despejar el Internet temporal archiva la carpeta
Recomience la computadora en modo Normal. Para las instrucciones, lea la sección en volver al modo Normal en el documento "cómo encender la computadora en modo seguro."

Registro sobre la computadora usando el nombre que fue demostrado en la trayectoria que usted anotó en el paso 4c.

Por ejemplo, si era la trayectoria:

Internet Files\qrwmqczd.dll de C:\Documents y de Settings\Linda\Local Settings\Temporary

entre a la computadora como Linda.


Comience A Internet Explorer.
Chasque las opciones del menú > del Internet de las herramientas.
En la sección de archivos temporal del Internet, chasque el botón de los archivos de la cancelación.
Compruebe la "cancelación todo el contenido fuera de línea," y después chasque MUY BIEN.

Con respecto a tu Log,de acuerdo a las reglas de este foro,deberas recibir la respuesta de los especialistas,que no me cabe duda son los mas indicados y capacitados.Pero por lo menos el
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B" title="Safe">A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) <-- Always Remove

parece ser una aplicacion a eliminar.Pero espera a recibir la respuesta y opinion de quienes son los autorizados,que es la valida.
Suerte,Noche
Com

Hola laila Bienvenida a Infospyware.

Como has estado comprovando cosas, deverias de poner otro log del

*HijackThis por si hay alguna modificación nueva

Estaremos a la espera

Muchas gracias por responder!
parece que lo de apagarse era un problema tecnico (no volvio a pasar).

Por ahora el pc va bien, cuando le pase de nuevo el hijackthis os aviso.

GRACIAS!