Hola,
estoy teniendo mas que algunos problemas con trojans, mi antivirus es AVGFree Edition y anti-spyware AVG-AS.

Me salieron los siguientes errores : ''se ha detectado un problema con explorer.EXE y este programa debe cerrarse''

se cierra el explorer, y se cierra mi firewall y no me deja usar AVG-AS ni Windows Live msn

después me sale otro error : ''se ha detectado un problema con explorer.exe(este sin mayúsculas)...''

Y sobre todo problemas con mi conexión a Internet.

Esto es lo que me detectó el AVGFree :

trojans Generic4.TB(totour.exe),
Generic2.GNP(sxs.exe),
trojan horse downloader Generic2.EBC ,
Generic4.ROS(C:\7.tmp,)
PSW.Generic4.GVE (C:\6.tmp,),
Worm/Generic.SV(F:\AdobeR.exe,
koos.exe,
alt.exe.exe,
pee.exe.exe


Aquí está mi log de HijackThis:

--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:48:11 p.m., on 28/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.pe/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: D:\WINDOWS\System32\lxnhe873ejkd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - D:\WINDOWS\System32\lxnhe873ejkd.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Armor2net] D:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\SHDOCVW.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\SHDOCVW.dll
O10 - Unknown file in Winsock LSP: d:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: d:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: d:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: d:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {DD583921-A9E9-4FBF-9266-8DC2AB5EA0AF} - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin10USA.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Edson
O17 - HKLM\Software\..\Telephony: DomainName = Edson
O17 - HKLM\System\CCS\Services\Tcpip\..\{34C102C8-F1F6-487B-81D3-02274B6A6EDE}: NameServer = 200.48.225.130,200.48.225.146
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Edson
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Edson
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Edson
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - D:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - D:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



--------------------------------------------------------------------------



Espero instrucciones para eliminar a esos bichos
Gracias de antemano
salu2

Hola tio ED,

Descarga la herramienta SDFix y guardala y descomprimila en tu escritorio pero no la ejecutes aun.

(Es posible que el antivirus que tengas instalado te advierta de una infección en esta herramienta, es debido al tipo de código pero no te preocupes por ello, permite el paso de la herramienta)

Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Con todos los programas cerrados ejecuta el HijackThis y dale a esta entrada:


O2 - BHO: D:\WINDOWS\System32\lxnhe873ejkd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - D:\WINDOWS\System32\lxnhe873ejkd.dll (file missing)

O20 - Winlogon Notify: rpcc - D:\WINDOWS\System32\rpcc.dll



Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Reinicia y nos contas los resultados.

Salu2

__________________

Aquí esta el report del SDFix , después de hacer todo lo señalado anteriormente


-----------------------------------------------------------------------------



SDFix: Version 1.85

Run by Edson - 29/05/2007 - 13:18:55.14

Microsoft Windows XP [Versi¢n 5.1.2600]

Running From: D:\DOCUME~1\EDSON~1.PUN\ESCRIT~1\SDFix

Safe Mode:
Checking Services:

Name:
kprof
poof
wincom32
windev-5698-10b2

ImagePath:
\??\D:\WINDOWS\System32\kprof
\??\D:\WINDOWS\System32\poof
\??\D:\WINDOWS\System32\wincom32.sys
\??\D:\WINDOWS\system32\windev-5698-10b2.sys

kprof - Deleted
poof - Deleted
wincom32 - Deleted
windev-5698-10b2 - Deleted

Killing PID 156 'smss.exe'
Killing PID 228 'winlogon.exe'

ndis.sys Infected!

Patched File copied to Backups Folder
Attempting to replace ndis.sys with original version...

Original ndis.sys Restored


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

D:\WINDOWS\system32\windev-5698-10b2.sys - Deleted
D:\WINDOWS\system32\alt.exe.exe - Deleted
D:\WINDOWS\system32\pee.exe.exe - Deleted
D:\DOCUME~1\EDSON~1.PUN\CONFIG~1\Temp\winlogon.exe - Deleted
D:\WINDOWS\system32\kprof - Deleted
D:\WINDOWS\system32\poof - Deleted
D:\WINDOWS\system32\rpcc.dll - Deleted
D:\WINDOWS\system32\svcp.csv - Deleted
D:\WINDOWS\system32\wincom32.ini - Deleted
D:\WINDOWS\system32\windev-peers.ini - Deleted
D:\WINDOWS\system32\winsub.xml - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
D:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
D:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------


Rootkit PE386 Found, Use a Rootkit scanner !

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\WINDOWS\\system32\\dxdiag.exe"="D:\\WINDOWS\\ system32\\dxdiag.exe:*:Enabled:Microsoft DirectX Diagnostic Tool"
"D:\\WINDOWS\\system32\\dpnsvr.exe"="D:\\WINDOWS\\ system32\\dpnsvr.exe:*:Enabled:Servidor de DirectPlay8 de Microsoft"
"D:\\Archivos de programa\\Valve\\hl.exe"="D:\\Archivos de programa\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Backups Folder: - D:\DOCUME~1\EDSON~1.PUN\ESCRIT~1\SDFix\backups\bac kups.zip

Checking For Files with Hidden Attributes:

D:\Documents and Settings\Edson.PUNKS-6TOR9P384\Configuraci¢n local\Datos de programa\Microsoft\Messenger\edsonburger505@hotmai l.com\Sharing Folders\pentagrama80@hotmail.com\Thumbs.db
D:\Documents and Settings\Edson.PUNKS-6TOR9P384\Configuraci¢n local\Datos de programa\Microsoft\Messenger\sadeflow@hotmail.com\ Sharing Folders\vacafoca@hotmail.com\Thumbs.db
D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Archivos de programa\Outlook Express\msimn.exe
D:\WINDOWS\system32\config\default.tmp.LOG
D:\WINDOWS\system32\config\software.tmp.LOG
D:\WINDOWS\system32\config\system.tmp.LOG
D:\WINDOWS\Temp\18467.tmp.LOG

Finished
--------------------------------------------------------------------------



Bueno parece que todo anda bien ahora, algo que no comente anteriormente es que mi firewall (Armor2net), detectaba intentos de conexión de 'Explorador de Windows' cada 2 segundos, y se me reinició la pc 2 veces, ahora ya no así que supongo que eso se resolvió.

Si tengo algo mas que hacer, avisarme.

salu2

Hola parece que el SDFix realizo muy bien su trabajo borrando todos los malwares encontrados.

De todas maneras parece que encontro un RootKits por lo que pasale un AVG Anti-Rootkit

Salu2

__________________

Bueno, descargué e instalé el AVG Anti-Rootkit me detectó 1, le di a eliminar y reinició.
Creo que con eso bastará,
Salu2 y gracias por al ayuda.