Título: Active un troyano sin darme cuenta ayudemen Publicado por: ANTRUCK en 21 Junio 2011, 10:00 am bueno estaba bajando spy-net y cuando lo ejecuto veo que no es como las demas verciones anteriores que simplemente se abre y listo este empeso a extraer varios archivos y todo programa que yo instalo pues siempre reviso la carpeta de intalacion.
Entro en su carpeta en este caso era la unica C: mas nada veo que hay un archivo de un icono de una foto supe de una vez que era un sever por la forma de la foto parece un icono a jpeg de 8 bit :/ la cosa es que el sever esta activado tengo el obit malware el lo detecta pero no me lo puede borrar porque el vuelve y se crea otra vez tengo que eliminarlo del registro no se como. aqui esta el resultado marcado en rojo donde esta el sever en este caso lleva nombre de EXPLERE.exe no explorer es explere. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:46:08 a.m., on 21/06/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe C:\Archivos de programa\IObit\IObit Malware Fighter\IMFsrv.exe C:\Archivos de programa\Ask.com\Updater\Updater.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe C:\Archivos de programa\MagicDisc\MagicDisc.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\WINDOWS\KMService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe C:\Archivos de programa\Opera\opera.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\srvany.exe C:\WINDOWS\explorer.exe C:\Archivos de programa\NoVirusThanks\NoVirusThanks Uploader\NoVirusThanks Uploader.exe C:\Archivos de programa\IObit\IObit Malware Fighter\IMF.exe C:\Archivos de programa\IObit\IObit Malware Fighter\IMFUpdater.exe C:\WINDOWS\explorer.exe C:\Archivos de programa\CCleaner\CCleaner.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - URLSearchHook: Messenger Plus LATAM Toolbar - {585941d7-21fa-4e24-8281-c134bfa894c1} - C:\Archivos de programa\Messenger_Plus_LATAM\prxtbMess.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll O2 - BHO: Messenger Plus LATAM - {585941d7-21fa-4e24-8281-c134bfa894c1} - C:\Archivos de programa\Messenger_Plus_LATAM\prxtbMess.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Messenger Plus LATAM Toolbar - {585941d7-21fa-4e24-8281-c134bfa894c1} - C:\Archivos de programa\Messenger_Plus_LATAM\prxtbMess.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [IObit Malware Fighter] "C:\Archivos de programa\IObit\IObit Malware Fighter\IMF.exe" /autostart O4 - HKLM\..\Run: [ApnUpdater] "C:\Archivos de programa\Ask.com\Updater\Updater.exe" O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\explere\explere.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\explere\explere.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\explere\explere.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\explere\explere.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - S-1-5-18 Startup: MagicDisc.lnk = C:\Archivos de programa\MagicDisc\MagicDisc.exe (User 'SYSTEM') O4 - .DEFAULT Startup: MagicDisc.lnk = C:\Archivos de programa\MagicDisc\MagicDisc.exe (User 'Default user') O4 - Startup: MagicDisc.lnk = C:\Archivos de programa\MagicDisc\MagicDisc.exe O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000 O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O13 - Gopher Prefix: O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: IMF Service (IMFservice) - IObit - C:\Archivos de programa\IObit\IObit Malware Fighter\IMFsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8215 bytes si lo pueden ver en mas lugare digamen me duelen un poco los ojos plz ayudemen :( PD: tambien me dice el iobit malware que algo quiere tener aceso o lo que sea a explorer y mas archivo pero le tengo todo los permiso blockeado pero no se que hacer para eliminarlo soy nuevo en esto no se nada. ya mi pc estan apareriendo cosa rara en la pantalla algo que aplicaciones se estan cerrando y otra que no puede ejecutarse help meeeee Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: .:UND3R:. en 21 Junio 2011, 10:10 am Cual es problema? sabes la ruta en donde está y los registros que creo entra en modo seguro, eliminalo desde ahí y también sus registros
Saludos Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: ANTRUCK en 21 Junio 2011, 10:26 am Cual es problema? sabes la ruta en donde está y los registros que creo entra en modo seguro, eliminalo desde ahí y también sus registros Saludos en esta carpeta esta metido C:\WINDOWS\system32\explere la borro pero vuelve aparece la carpeta estoy borrando todo lo que esta en el registro con explere pero no se si sera suficiente. tengo que entrar a modo seguro para eliminalo y puedo asi como estoy ahora normal ? me estan apareciendos cosa en la pantalla sobre un archivos IMF no se que es pero tuvo un error me aparecio en la pantalla y luego le di a cerrar tambien me cerror el iobit malware pero volvi lo active porque se activo de nuevo el explere ese :/ el IMF se activo de nuevo lo acabo de ver pero veo que segun el adminitrador tarea esta usando mas del 42 % del CPU :/ Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: ANTRUCK en 21 Junio 2011, 10:28 am Disculpame es que esto me tiene nervioso el IMF no tiene problemas es iobit malware que quiere decir lo cerre y seme cerro la protecion por eso es el uso grande que tenia lo tenia escarneando la pc asi que el problema es solo el explere ese
Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: NachoEx en 21 Junio 2011, 22:23 pm Entra en modo seguro y empiezaa a eliminar del registro el troyano...
Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: moyo18 en 21 Junio 2011, 22:32 pm malware bytes
intenta kitarlo con ese. si no bajate un rescue disk usa el d avira y dale desd ahi. Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: Vjuan_ en 21 Junio 2011, 22:53 pm parece que lo tienes facil, si no quieres utilizar para la eliminacion del troyano un antivirus o antispysware, lo puedes hacer manualmente, saca el .exe de su carpeta, eliminando o moviendolo a otra ubicacion, y aprovechando que tienes el Ccleaner, haces un escaneo del registro, borrando todas las entradas invalidas, y a mas, desde el buscador del registro, podias intentar buscar alguna posible entrada, que no hubiera sido eliminada por el cleaner, hecho esto, solo queda reiniciar, y tener suerte
Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: WaAYa HaCK en 21 Junio 2011, 23:32 pm La cosa es simple:
Todo en modo a prueba de fallos: 1.-Abre el registro y revisa las claves siguientes: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run Elimina todas las claves sospechosas (evidentemente, mira qué hace cada clave antes de borrar a saco) . 2.-Dirígete a la ruta que te marcaban estas claves y busca el malware. Intenta eliminarlo por la fuerza. Si no puedes, significa que hay algún proceso que lo usa o lo protege. Incluso hay algunos virus que sólo se pueden eliminar si eres SYSTEM, pero el bug creo que ya está más que hablado... 3.-Abre el Administrador de Tareas y mata todos los procesos sospechosos o innecesarios (matar árbol de procesos). Vuelve a intentar eliminar el malware. 4.-Repite una búsqueda total en todo el PC del malware en cuestión y de los procesos sospechosos. Elimina todo lo que encuentres. 5.-Reinicia y vuelve a entrar a modo prueba de fallos. 6.-Pasa alguno de los AV's o Cleaners por tu PC, a ver si encuentran algo. 7.-Entra en modo normal. Revisa los procesos activos y el Registro, juntamente con las carpetas de sistema (%windir% , %systemroot% y %systemroot%\system32 ) . Debería bastarte con esto. Saludos! PD: Creo que skapunky se debe estar tirando de los pelos, porque creo que con mirar la documentación de su Taller de Seguridad Informática orientada al Malware podías resolverlo tú solo. PD2: El Facemoods es Adware con dos cojones, pero si te gusta... Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: skapunky en 22 Junio 2011, 01:50 am No me tiro de los pelos por ello, me tiro de los pelos pensando que el usuario entre en modo seguro y se cepille otra cosa que no sea el explere ese. :xD
Veo la siguiente porkeria: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 Cambia la pagina de inicio, eso de facemoods parece que te cuelen publicidad y quien sabe que otras drogas. (No las elimines, solo cambia la url :¬¬) Tienes una toolbar publicitaria típica: Citar O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll Y aparte los 4 archivos que tienes localizados del explere, entra en modo seguro y eliminalos. PD: Creare un grupo de facebook que diga " Yo tampoco duerno por las noches pensando que alguien siga mi manual y borre lo que no toque" Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: ANTRUCK en 7 Julio 2011, 07:15 am No me tiro de los pelos por ello, me tiro de los pelos pensando que el usuario entre en modo seguro y se cepille otra cosa que no sea el explere ese. :xD Veo la siguiente porkeria: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 Cambia la pagina de inicio, eso de facemoods parece que te cuelen publicidad y quien sabe que otras drogas. (No las elimines, solo cambia la url :¬¬) Tienes una toolbar publicitaria típica: Y aparte los 4 archivos que tienes localizados del explere, entra en modo seguro y eliminalos. PD: Creare un grupo de facebook que diga " Yo tampoco duerno por las noches pensando que alguien siga mi manual y borre lo que no toque" hahaha esa cosa de facebook es mi novia que intala toda esa porquerias XD, Dure mucho para responder este tema ya que no podia entrar al internet :'( :( Si ya pude eliminal esa cosa ahora me toca a mi XD tratar de entrar en alguien mas XD solo espero no dañar mi modem de nuevo con esto experimentos ¬¬!° Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: VanX en 7 Julio 2011, 18:14 pm Usa el DrWeb mira: http://www.freedrweb.com/cureit/?lng=en
(http://www.softpedia.com/screenshots/Dr-WEB-CureIt_1.png) Salu2 y espero averte ayudado ;) Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: ANTRUCK en 8 Julio 2011, 16:50 pm Usa el DrWeb mira: http://www.freedrweb.com/cureit/?lng=en (http://www.softpedia.com/screenshots/Dr-WEB-CureIt_1.png) Salu2 y espero averte ayudado ;) Gracia bajando ^^ Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: VanX en 8 Julio 2011, 16:53 pm Ami el Drweb me va de 10 y para mi es el mejor :P ya nos dirás como te va
saludos ;) Título: Re: Active un troyano sin darme cuenta ayudemen Publicado por: Samusidio en 11 Julio 2011, 18:35 pm Eso de facemoods está por todos lados ahora. No se si es una brecha de seguridad pero son esas caripelas para el fesibuk :laugh: Hay que huir de esas cosas
|