PDA

Ver la versión completa : Problemas con troyanos



bellatrix15
20-01-2009, 00:02
hola
tengo problemas con un troyano llamado
Rootkit.Podnuha trojan, que ha cambiado de pocision en varios días.
Tengo el nod32 y solo me dice que el troyano está ahí y que está en cuarentena. y hoy me avisa que tengo otro troyano llamado Rootkit.Podnuha.IR.
no se que hacer
Ayuda por favor.

neo.malaga
20-01-2009, 03:13
Pues mi humilde consejo es que pases el Not32 en la modalidad profunda o algo asi (perdonad que no me acuerde se llama, pero los tiros van po ahí), una vez lo pases mira los resultados y borra lo encontrado.
Posteriormente pasa el programa llamado Hijackthis (lo puedes descargar de aqui http://hijackthis.softonic.com/ ), y el log resultante pegalo en este foro, a ver si te podemos ayudar.
Espero haberte sido de utilidad, y sino verás como alguno de los monstruos de este foro te ayudan. Un saludo

SxR
20-01-2009, 11:13
Por si lo buscas, lo que te recomienda neo.malaga es 'NOD32' (porque como busques not32 igual te levas una sorpresa) y cuidado con lo que 'borras'. Intenta desinfectar antes porque si borras algún archivo importante... igual te cargas el Sistema Operativo.

Yo te recomiendo (por recomendar que no quede) el Avast, porque una vez que lo instalas tienes una opción de scanner que se inicia ANTES del arranque de Windows, con lo que, si el 'problema' se carga con el arranque de windows... también lo soluciona. Para mi es una gran ventaja que pocos implementan a día de hoy.

neo.malaga
20-01-2009, 13:30
Cierto, mea culpa, el antivirus al que me refería es NOD32, gracias por la corrección.
Me refería a el porque es el antivirus que dice tener instalado y ciertamente el avast tiene la opción de escanear antes de iniciarse el sistema,(pezao de pantallón azul).
En cuanto a lo de borrar, la proxima vez seré mas explícito, ya que tal y como lo he puesto puede llevar a error. Borra solo aquello que estes seguro que puedes borrar, el resto desinfecta o cuarentine.

bellatrix15
21-01-2009, 00:31
Hola
ya hice el escaneo del sistema y solo dice que está el Rootkit.Podnuha.IR. trojan

aquí está el análisis del Hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe
C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Archivos de programa\ESET\ESET Smart Security\egui.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A3B66EE-9B46-4D82-8C69-87221DB58688} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [E06EDXRC_904120] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE" -m
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Archivos de programa\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

neo.malaga
21-01-2009, 21:18
En ese log y en principio, yo no veo nada raro, pero igual alguno de los experimentados foreros si que lo vé, y en ese caso ya te dirán que hacer con esas entradas.
Hiciste el scaneo con el avast antivirus? pruebalo tal y como te recomendó SxR, es un antivirus gratuito y muy bueno (al menos en mi opinión).
Un saludo

RaidMan
21-01-2009, 22:14
Nop, el log esta limpio, a excepcion de las tipicas barras del Bitcomet y demas...

Te recomiendo que pases algun antivirus online, como el Ewido (www.ewido.net/en/onlinescan/) y si no detecta nada, como me has dicho que el NOD te lo detecta, pero no es capaz de eliminarlo, puedes probar su version online: NOD32 Online (http://www.eset.com/onlinescan/)

En esta (http://personales.ya.com/seguridad/index.htm) web, en la seccion de aplicaciones tienes algunos anti-rootKit. Prueba a ver si consigues eliminarlo.



Un saludo

elfren_811
22-01-2009, 19:43
si te lo reconoce puedes encontrar la ruta de destino donde se encuentra el o los archivos, mi recomendación es que vayas a regedit y elimines los registros, y seguido de esto elimina los archivos de virus!!! tambien verifica los procesos del sistema talvez lo puedas ver y eliminalo, tambien fijate en el msconfig la pestaña donde se ven los procesos de inicio desactiva cosas que sean descoinocidas!!! no te aseguro que lo puedas eliminar pero por lo menos lo puedes controlar mientras encuentran la cura!!!!!:D:D:D