elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Me parece que tengo un troyano muy chungo
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Me parece que tengo un troyano muy chungo  (Leído 4,906 veces)
nathX

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Me parece que tengo un troyano muy chungo
« en: 21 Diciembre 2010, 01:16 am »

Perdonad la ignorancia, pero necesito AYUDA URGENTE, me parece que es un troyano, pero y me dirán. El problema es que el teclado y el cursor se vuelven locos sin que haga nada, pero, después de mucho investigar descubrí que la tecla <Supr/ScrLK> controla un poco el problema. Ya he restaurado el ordenador y lo he analizado en modo seguro con el avast antivirus, el spybot, el superantispyware, y el malwarebytes' anti-malware (los dos últimos la versión gratuita), todos los aplicativos debidamente actualizados, y después también los he ejecutado en modo seguro con funciones de red y también en modo normal, encuentran cosillas, pero nada las elimino, pero el problema persiste. He escrito al fabricante y me ha indicado como restaurar la Bios (según él ese es el problema) pero tampoco he podido porque el virus no deja que el sistema lea el USB donde se encuentra el archivo que actualizará la bios en el arranque (lo hago con ALT+F2). Ahora estoy pasando el NOD32 que me ha pasado mi hermano y espero que encuentre algo, pero si alguien sabe cual es el problema que tengo sería un gran alivio que me pudiera ayudar.
-------
El NOD32 acaba de encontrar el Virus Win32/PSW.OnLineGames.NMY (Troyano) en más de un archivo de los de "_restore{...." y supongo que este es el problema, me podríais decir como eliminarlo permanentemente?
Gracias de nuevo
-------
El NOD32 a acabado el análisis y en teoría a eliminado el troyano de los 2 archivos y además está en cuarentena,pero sigo teniendo el problema, pero, al menos ya sé porqué restaurar no sirve de nada.
Bueno, me voy a dormir o me voy a volver loca con este tema.


« Última modificación: 21 Diciembre 2010, 01:39 am por nathX » En línea

winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Me parece que tengo un troyano muy chungo
« Respuesta #1 en: 21 Diciembre 2010, 01:42 am »

Buenas !
En caso de la bios, puedes resetearla, simplemente saca la pila por unos minutos, y luego cuando la pongas de neuvo en el pc, tendrás que reconfigurar todo.
Bien, en caso de que sospeches de algún tipo de malware,
Peganos un log de hijackthis,
http://free.antivirus.com/hijackthis/
Log de tcp view,
http://technet.microsoft.com/en-us/sysinternals/bb897437
http://www.gmer.net/#files
Un abrazo.


En línea

Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Me parece que tengo un troyano muy chungo
« Respuesta #2 en: 21 Diciembre 2010, 01:44 am »

Hola nathX ,

¿Has escaneado con...

Citar
Avast antivirus, el spybot, el superantispyware, y el malwarebytes' anti-malware
...y no han encontrado nada de nada? No iría mal que colgaras el log de MalwareBytes.

Por otro lado:

Citar
"_restore

Es la carpeta de 'Restaurar Sistema". (Oculta, con nombre: System Volume Information)

Va bien para volver a configuraciones anteriores, pero también suele ser 'nido' para que los 'bichos' se echen una siestecita y despierten con nuevas ganas de reinfectar el ordenador.

Para eliminar por completo el contenido de esta carpeta:

(1) Inicio / Ejecutar / sysdm.cpl.

(2) Pestaña "Restaurar Sistema".

(3) Marcas 'el tic' "Desactivar Restaurar Sistema"

Lo mismo, pero 'más vistoso'

Cuando creas que tu sistema está completamente limpio, vuelve a activarlo. Nunca va mal tener una copia y poder volver a puntos anteriores... Que estén 'desinfectados' de virus, claro  ;)

Ya nos contarás.

Saludos.

EDITO:

Ups... No había visto la respuesta de winroot. Me parece completamente correcta... Sobre todo, lo del log de hijackthis...

____________________________________________________________________
Los Win32/PSW.OnLineGames., son típicos 'amigos' con lo que suelo pasear. Haznos un favor:

(1) Inicio / Ejecutar / CMD

(2) Tecleas: cd\

(3) Estarás en la raíz: C:\ Teclea---> dir /as > c:\foro.txt

Esto creará un archivo "foro.txt" en C:\. Péganos el contenido. (Quizá esté limpio, debería con tanto antiMalware que has utilizado, pero... Por si acaso).

Saludos (de nuevo).
« Última modificación: 21 Diciembre 2010, 02:03 am por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Magius

Desconectado Desconectado

Mensajes: 140


Solo se que no se nada


Ver Perfil
Re: Me parece que tengo un troyano muy chungo
« Respuesta #3 en: 24 Diciembre 2010, 10:14 am »

Buenas, te recomiendo que despues de que hayas comprobado que tu guindows este limpio, repares y compruebes la integridad del registro para solucionar lo que haya estropeado el troyano y hagas lo mismo con el sistema con la instrucción:
inicio/ejecutar/ sfc /SCANNOW

Ya nos contaras.

Un saludo y felices fiestas! :D
En línea

nathX

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Me parece que tengo un troyano muy chungo
« Respuesta #4 en: 17 Marzo 2011, 00:23 am »

Hola a todos, antes que nada aunque no pude continuar con las sugerencias que me hicieron os quería dar las gracias por todos, tuve que viajar y no pude estar por el tema, pero ahora estoy de vuelta y sigo sin poder solucionar el problema que tenía, y sigue siendo desesperante, espero que podamos retomar el tema y me podáis seguir ayudando, bueno, he hecho los deberes y adjunto la info que me solicitásteis...

Para "winroot":
Al ser un portátil no he podido hacer lo de la pila, pero he intentado actualizar la bios desde la web del fabricante y después de todo el proceso cuando se reinicia el ordenador y cargo en el setup los datos por defecto de la bios no reconoce el único disco que tengo como unidad de arranque así que tengo que apagar el ordenador a la mala y volverlo a encender para que cargue sin problema. Os pego el log de hijackthis y el Log de tcp view:
-------------------
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:31:24, on 16/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\AVAST Software\Avast\afwServ.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\EeePC\ACPI\AsAcpiSvr.exe
C:\Archivos de programa\EeePC\ACPI\AsEPCMon.exe
C:\Archivos de programa\EeePC\ACPI\AsTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ASUS\Eee Docking\Eee Docking.exe
C:\Archivos de programa\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [AsusACPIServer] C:\Archivos de programa\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Archivos de programa\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AsusTray] C:\Archivos de programa\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynAsusAcpi] %ProgramFiles%\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eee Docking] C:\Archivos de programa\ASUS\Eee Docking\Eee Docking.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup:  SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1292191733156
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\afwServ.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 8525 bytes
---------------------------------
tcpview log:

[System Process]   0   TCP   nombre-0n21k75k.local.lan   1096   wy-in-f155.1e100.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   NOMBRE-0N21K75K   1064   localhost:1063   1063   TIME_WAIT                              
[System Process]   0   TCP   nombre-0n21k75k.local.lan   1155   yu-in-f101.1e100.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   nombre-0n21k75k.local.lan   1098   wy-in-f155.1e100.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   nombre-0n21k75k.local.lan   1113   mu-in-f113.1e100.net:http   http   TIME_WAIT                              
afwServ.exe   1980   TCP   nombre-0n21k75k.local.lan   1040   avast.com   http   CLOSE_WAIT                              
alg.exe   2528   TCP   NOMBRE-0N21K75K   1045   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12143   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12465   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12993   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12563   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12110   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12025   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12080   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12995   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   TCP   NOMBRE-0N21K75K   12119   NOMBRE-0N21K75K   0   LISTENING                              
AvastSvc.exe   536   UDP   NOMBRE-0N21K75K   1029   *   *                                 
AvastSvc.exe   536   UDP   NOMBRE-0N21K75K   1030   *   *                                 
AvastSvc.exe   536   UDP   NOMBRE-0N21K75K   1149   *   *                                 
lsass.exe   1212   UDP   NOMBRE-0N21K75K   isakmp   *   *                                 
lsass.exe   1212   UDP   NOMBRE-0N21K75K   4500   *   *                                 
SeaPort.exe   1324   TCP   nombre-0n21k75k.local.lan   1041   cds164.iad9.msecn.net   http   CLOSE_WAIT                              
svchost.exe   1460   TCP   NOMBRE-0N21K75K   epmap   NOMBRE-0N21K75K   0   LISTENING                              
svchost.exe   1524   UDP   NOMBRE-0N21K75K   ntp   *   *                                 
svchost.exe   1524   UDP   nombre-0n21k75k.local.lan   ntp   *   *                                 
svchost.exe   1736   UDP   NOMBRE-0N21K75K   1900   *   *                                 
svchost.exe   1736   UDP   nombre-0n21k75k.local.lan   1900   *   *                                 
System   4   TCP   NOMBRE-0N21K75K   microsoft-ds   NOMBRE-0N21K75K   0   LISTENING                              
System   4   TCP   nombre-0n21k75k.local.lan   netbios-ssn   NOMBRE-0N21K75K   0   LISTENING                              
System   4   UDP   nombre-0n21k75k.local.lan   netbios-ns   *   *                                 
System   4   UDP   nombre-0n21k75k.local.lan   netbios-dgm   *   *                                 
System   4   UDP   NOMBRE-0N21K75K   microsoft-ds   *   *                                 
--------------------

Para "Arcano":
Ya he desactivado la opción de -restaurar sistema- tal como me has indicado, y te pego el log de MalwareBytes:
-----
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Versión de la Base de Datos: 6080
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
17/03/2011 0:16:01
mbam-log-2011-03-17 (00-16-01).txt
Tipos de Análisis: Análisis Completo (C:\|D:\|)
Objetos examinados: 174504
Tiempo transcurrido: 26 minuto(s), 29 segundo(s)
Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Archivos Infectados:
(No se han detectado elementos maliciosos)

---------------------

Para "Magius":
Aún no está limpio el sistema operativo pero no sé como hacer lo de "reparar y comprobar la integridad del registro", lo otro de hacer lo mismo con el sistema con el SCANNOW si lo tengo claro.
----------------------

 :D Bueno, para acabar la nueva putada que hace, es que cuando programo el análisis desde el arranque con la última versión del avast, lo cancela, aparece la pantalla conforme se está iniciando el análisis y al momento sale el mensaje de que el análisis ha sido cancelado y no hay manera de hacerlo.
 De nuevo gracias a todos y ojalá podamos retomar el tema y me puedan ayudar.
Saludos NathX
En línea

Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Me parece que tengo un troyano muy chungo
« Respuesta #5 en: 18 Marzo 2011, 00:33 am »

Buenas nathX,

Recapitulando, los problemas eran los siguientes:

(1) El teclado y el ratón "se vuelven locos".
(2) Infección de Win32/PSW.OnLineGames.NMY
(3) No realiza el escaneo de incio mediante Avast. Se cancela solo...

De los tres problemas, el del posible troyano, ya parece estar solucionado. En cuanto a los logs:

  • Hijackthis: Limpio
  • TcpView: Sin conexiones sospechosas. Sólo Avast y MSN.
  • MalwareBytes: Limpio

El equipo, a juzgar por lo dichoy a falta de que se me haya escapado algo; está... Pues eso, limpio.

Centrémonos en los problemas (1) y (3). Bueno, el problema (3) lo vamos a dejar para otro día  :silbar: Porque... Porque no le encuentro sentido que se cancele "solo" el escaneo. También podrías probar a quitar el AVAST y poner otro antivirus. Por ejemplo, panda cloud. Por citar alguno gratis.

En cuanto al problema (1), tal y como te indicaron, podría ser problema de la BIOS. Ahora... No he entendido muy bien lo que comentas. Al parecer, cuando la actualizas, tienes inconvenientes. Supongo que has descargado el ejecutable correspondiente para tu equipo y tu BIOS.

En cuanto al teclado y el ratón, el hecho de que "cobren vida" de sopetón... He visto ese comportamiento a causa de algún Malware. En concreto, el troyano que nos comentas, "OnlineGames"; funciona también como keylogger y podría ser el detonante, pero, como he indicado anteriormente, el equipo parece limpio. Es más, no se ve ninguna conexión sospechosa. Condición indispensable para el funcionamiento de los keylogger -suponiendo que estuviese activo-.

Sólo se me ocurre que actulices los drivers del "chipset" y del "touchpad".

Después de todo el rollo... Parezco un político: Muchas palabras, pocas soluciones...  :¬¬

La verdad es que no se me ocurre nada más. Yo lo veo como tema de BIOS y drivers -a falta de virus-. Podrías ponerte en contacto con el fabricante y que te asesoren para descargarte, sin lugar a equivocaciones, los correspondientes controladores.

A ver si algún otro forero puede aportar algo más...

Saludos.

PD: Como última opción, para descartar algún rootkit que no se vea en los logs, prueba con GMER. Ejecutas, sin más. No es necesario "scan". Ejecutas y nos cuentas si "se pinta algo de rojo".

En línea

La curiosidad es la antesala al conocimiento...
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ejercicio chungo
Programación General
exo1312 1 1,677 Último mensaje 20 Enero 2016, 20:19 pm
por Eleкtro
tengo un problema con xampp , que les parece que puede ser?
PHP
Razzari 3 2,589 Último mensaje 19 Marzo 2017, 23:09 pm
por Razzari
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines