Sigue el troyano
El Avast me ha detectado un troyano en mi pc, concretamente el win32:trojan-gen. Esta alojado en C\windows\downloaded installations\6D71E69C-E07A-4D2C-A2B7-3E5489F0CA52.
Sin embargo, el Avast no puede eliminarlo. He intentado instalar otro antivirus, pero al intentar desinstalar previamente el Avast, no puedo, ni eliminar su carpeta. Esto me impide instalar otro antivirus.
Pues bien, he desactivado "restaurar sistema", he reiniciado a prueba de fallos y he pasado nuevamente el Avast, sin resultado.
A continuación, he desinstalado el Avast y he instalado la demo de Panda, que no ha localizado el bicho. Después de desinstalarlo, he instalado la demo de Bit defender, que si lo localiza, pero no lo puede desinfectar ni mover el fichero.
He estado consultando en internet y he dado los siguientes pasos.
1. Con la opción de "restaurar sistema" desactivada, he vuelto a reiniciar a prueba de fallos y he pasado el Ad-aware y el Spy boat que, aunque me han localizado varias cookies, no han localizado al bichejo.
2.Posteriormente, he pasado el Disk Cleaner.
3. He reiniciado el sistema en modo normal.
4. Con el Bit Defender desactivado, he pasado el Panda y el karpesky on-line, que no han localizado al bicho.
5.Pasé nuevamente los antispy que he citado antes y el Disk Cleaner.
6. Activado nuevamente el Bit Defender, me detecta el troyano, pero solo cuando hago el análisis completo y no logra desinfectarlo ni mover el fichero. Como ya te he indicado está alojado alojado en C\windows\downloaded installations\6D71E69C-E07A-4D2C-A2B7-3E5489F0CA52 ( Infectado(s): Backdoor.Vb.ALB).
7. Por último, he pasado el HijakThis, con el siguiente resultado.
Logfile of HijackThis v1.99.1
Scan saved at 13:03:01, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Microsoft IntelliPoint\point32.exe
C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe
C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Archivos de programa\Softwin\BitDefender10\bdlite.exe
C:\Archivos de programa\Softwin\BitDefender10\bdlite.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Barra Yahoo! Con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\{74A59AE2-76F2-4ACA-9377-9A6E98AD7D56}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos...
Sin embargo, el Avast no puede eliminarlo. He intentado instalar otro antivirus, pero al intentar desinstalar previamente el Avast, no puedo, ni eliminar su carpeta. Esto me impide instalar otro antivirus.
Pues bien, he desactivado "restaurar sistema", he reiniciado a prueba de fallos y he pasado nuevamente el Avast, sin resultado.
A continuación, he desinstalado el Avast y he instalado la demo de Panda, que no ha localizado el bicho. Después de desinstalarlo, he instalado la demo de Bit defender, que si lo localiza, pero no lo puede desinfectar ni mover el fichero.
He estado consultando en internet y he dado los siguientes pasos.
1. Con la opción de "restaurar sistema" desactivada, he vuelto a reiniciar a prueba de fallos y he pasado el Ad-aware y el Spy boat que, aunque me han localizado varias cookies, no han localizado al bichejo.
2.Posteriormente, he pasado el Disk Cleaner.
3. He reiniciado el sistema en modo normal.
4. Con el Bit Defender desactivado, he pasado el Panda y el karpesky on-line, que no han localizado al bicho.
5.Pasé nuevamente los antispy que he citado antes y el Disk Cleaner.
6. Activado nuevamente el Bit Defender, me detecta el troyano, pero solo cuando hago el análisis completo y no logra desinfectarlo ni mover el fichero. Como ya te he indicado está alojado alojado en C\windows\downloaded installations\6D71E69C-E07A-4D2C-A2B7-3E5489F0CA52 ( Infectado(s): Backdoor.Vb.ALB).
7. Por último, he pasado el HijakThis, con el siguiente resultado.
Logfile of HijackThis v1.99.1
Scan saved at 13:03:01, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Microsoft IntelliPoint\point32.exe
C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe
C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Archivos de programa\Softwin\BitDefender10\bdlite.exe
C:\Archivos de programa\Softwin\BitDefender10\bdlite.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Barra Yahoo! Con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\JUANBU~1\CONFIG~1\Temp\{74A59AE2-76F2-4ACA-9377-9A6E98AD7D56}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos...
1 Respuesta
Respuesta
1
Yo eliminaría estas entradas:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME1\JUANBU1\CONFIG1\Temp\{74A59AE2-76F2-4ACA-9377-9A6E98AD7D56}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
Pero asegúrate que estos nombres NO sean de programas que estés usando.
Como última posibilidad puedes usar el antivirus NOD32, o intentar borrar el archivo manualmente, tal vez se encuentra en las carpetas ocultas.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME1\JUANBU1\CONFIG1\Temp\{74A59AE2-76F2-4ACA-9377-9A6E98AD7D56}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
Pero asegúrate que estos nombres NO sean de programas que estés usando.
Como última posibilidad puedes usar el antivirus NOD32, o intentar borrar el archivo manualmente, tal vez se encuentra en las carpetas ocultas.
Hola Rond:
He seguido investigando y dentro de la carpeta en la que se alojaba el troyano se encontraba {6D71E69C-E07A-4D2C-A2B7-3E5489F0CA52, se encuentra MindSoft Utilities XP 9.06.msi que, según he leído en internet viene con un troyano.
De hecho, a continuación he copiado y pegado la carpeta en otro directorio, he pasado nuevamente el antivirus y ¡Bingo!, el troyado se había desplazado a la nueva ubicación.
Creo que lo adecuado será eliminar esta aplicación ya que no la utilizo.
¿Qué opinas?
Ello con independencia de que compruebe las entradas que me indicas y, si acaso, las elimine.
Saludos.
He seguido investigando y dentro de la carpeta en la que se alojaba el troyano se encontraba {6D71E69C-E07A-4D2C-A2B7-3E5489F0CA52, se encuentra MindSoft Utilities XP 9.06.msi que, según he leído en internet viene con un troyano.
De hecho, a continuación he copiado y pegado la carpeta en otro directorio, he pasado nuevamente el antivirus y ¡Bingo!, el troyado se había desplazado a la nueva ubicación.
Creo que lo adecuado será eliminar esta aplicación ya que no la utilizo.
¿Qué opinas?
Ello con independencia de que compruebe las entradas que me indicas y, si acaso, las elimine.
Saludos.
Si esa carpeta está relacionada a ese programa, elimina el programa sin dudas.