Tema: problema con troyano ke crea win*.tmp.exe
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 15/09/2006, 12:37
Avatar de vampira
vampira
 
Fecha de Ingreso: noviembre-2002
Mensajes: 247
Antigüedad: 21 años, 6 meses
Puntos: 0
problema con troyano ke crea win*.tmp.exe
HELPPPPP!!!!!!!!

tengo un troyano o virus no se ke no he podido kitr ni identificar, al principio me creaba en la carpeta c:\WINDOWS\temp\ archivos del tipo idd*.tmp.exe y se cargaban en los procesos, ademas de crear archivos win*.tmp.exe en el mismo folder...

le pase un monton de antivirus y al menos ya no me crea los archivos idd*.tmp.exe pero sigue creando los win*.tmp.exe y ademas crea conexions dial-up con el nombre de ENTER, si esta ha sido creada ya me crea una New Conexion, ya no se ke probar ni se donde esta el origen, he probado, symantec, ewido, panda, trend micro, kaspersky, Dr Web y otras varias Removal Tools y nada, no se ke hacer, aki esta el log de hijackThis haber si alguien me puede ayudar o darme otras ideas de donde buscar...
FYI. Tengo win2003

saludos y gracias de antemano
Logfile of HijackThis v1.99.1
Scan saved at 12:51:16 p.m., on 15/09/2006
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\Archivos de programa\SAV\DefWatch.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\Archivos de programa\Websense\EIM\bin\EIMServer.exe
C:\Archivos de programa\Websense\EIM\bin\NetworkAgent.exe
C:\Archivos de programa\Websense\EIM\bin\PolicyServer.exe
C:\Archivos de programa\Websense\EIM\bin\RTMServer.exe
C:\Archivos de programa\Websense\EIM\bin\UserService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\SAV\VPTray.exe
C:\Archivos de programa\Acronis\TrueImageEnterprise\TrueImageMoni tor.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe
C:\AdventNet\ScanFi\ScanFi.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
C:\WINDOWS\system32\mstsc.exe
C:\Archivos de programa\Secway\SimpPro 2.2\SimpPro.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Servidor\MySQL\bin\winmysqladmin.exe
C:\Servidor\MySQL\bin\mysqld-nt.exe
C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Ipswitch\WS_FTP Pro\wsftpgui.exe
C:\Archivos de programa\Macromedia\Dreamweaver 8\dreamweaver.exe
C:\WINDOWS\system32\zstatus.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inedec.gob.mx/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 62.183.25.238:3126
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Symantec] "C:\Archivos de programa\SAV\VPTray.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageEnterprise\TrueImageMoni tor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe
O4 - Startup: Show ScanFi.lnk = C:\AdventNet\ScanFi\ScanFi.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1151465146484
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{801CEB69-8378-4A03-87D8-FBED4790D1B8}: NameServer = 200.33.148.196,200.33.148.202
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\SAV\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/MySQL/bin/mysqld-nt.exe
O23 - Service: Symantec System Center Discovery Service (NSCTOP) - Symantec Corporation - C:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Websense Filtering Service (Websense EIM Server) - Websense - C:\Archivos de programa\Websense\EIM\bin\EIMServer.exe
O23 - Service: Websense Network Agent - Websense - C:\Archivos de programa\Websense\EIM\bin\NetworkAgent.exe
O23 - Service: Websense Policy Server (WebsensePolicyServer) - Websense - C:\Archivos de programa\Websense\EIM\bin\PolicyServer.exe
O23 - Service: Websense Real-Time Analyzer (WebsenseRealTimeAnalyzer) - Websense - C:\Archivos de programa\Websense\EIM\bin\RTMServer.exe
O23 - Service: Websense User Service (WebsenseUserService) - Websense - C:\Archivos de programa\Websense\EIM\bin\UserService.exe