• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software
 

Infectada por un virus: trojanwin32obfuscatedgx (SOLUCIONADO)

Estado
Cerrado para nuevas respuestas
NoNiX

NoNiX

Well-Known Member
Estoy ayudando a una amiga que al conectar su disco duro extraible le ha salido un error. Por lo que me ha comentado es este

Trojan.Win32.Obfuscated.gx Removal Process - PCHubs.com

Le sale , un mensaje Critical System Error
Your browser was infected by Trojan.win32.Obfuscated.gx
You need to clean your system inmediately, in other case it can be crashed soon!

Click OK to download the high-tech antispyware protection software (Recommended)
y la he mandando que me pase el log de hijackthis con todo cerrado.

Pobre que tiene que estudiar y no puede... a ver si loa echais una manita :)

Logfile of HijackThis v1.99.1
Scan saved at 17:43:17, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\itzi\Mis documentos\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Video - {F5E81149-92B2-47D2-A12B-1B966AB46EA7} - C:\WINDOWS\windivx.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Gracias
 
Eso que yo sepa no es un virus. Es simplemente "ingenieria social". Fijate:

Your browser was infected by Trojan.win32.Obfuscated.gx
You need to clean your system inmediately, in other case it can be crashed soon!
Hacer clic para expandir...


Necesitas limpiar tu sistema inmediatamente, en otro caso puede "romperse-destruirse" pronto...

Click OK to download the high-tech antispyware protection software (Recommended)
Hacer clic para expandir...

Ahi lo tienes: el enlace para que el incauto de turno compre un "software"

Salu2
 
Y para eliminar Trojan.Obfuscated.gx haz esto:

CODE, HTML o PHP Insertado: 
1. Click on the Start Menu button, then click on the Control Panel option, and then Double-click on the Add or Remove Programs icon.
2. Locate Trojan.Win32.Obfuscated.gx and double-click on it to uninstall Trojan.Win32.Obfuscated.gx. Follow the screen step-by-step screen instructions to complete uninstallation of Trojan.Win32.Obfuscated.gx. 
3. Restart the computer.
4. When it has completed uninstalling you can close Add or Remove Programs and your Control Panel.
5. Close all programs.
6. Stop Trojan.Win32.Obfuscated.gx process. If you do not know how to stop a running process, [URL="http://www.pchubs.com/blogs/pc-tips/how-to-stop-running-process"][COLOR=#0000ff]click here[/COLOR][/URL] to read more.
7. Delete the following infected files from your system.
windivx.dll
stream32a.dll
vipextqtr.dll
ecxwp.dll
If you do not know how to find it or having difficulties locating the file, [URL="http://www.pchubs.com/blogs/spyware-removal/how-to-find-or-search-for-files-and-folders"][COLOR=#0000ff]click here[/COLOR][/URL] to read more.
8. Rename the files that you found above to “foundbadfile1.dll” and “foundbadfile2.dll” (if you can not rename this file, then try to restart your computer in safe mode then try to rename this file.) If you don’t know how to start the computer in safe mode, [URL="http://www.pchubs.com/blogs/pc-tips/how-to-start-computer-in-safe-mode"][COLOR=#0000ff]click here[/COLOR][/URL] to read more.
9. Go to C:\Program Files\ folder and delete the “VirusProtect 3.8″ folder (if you can’t delete it, reboot your computer to safe mode then delete the folder)
10. [URL="javascript:addToFavorites()"][COLOR=#0000ff]Click here to bookmark this page (you will need to comeback to this page after reboot)[/COLOR][/URL]
(If you are using Firefox click on Ctrl+D on your keyboard to bookmark this page)
11. Restart your computer
12. Go to your computer and delete the “foundbadfile1.dll” and “foundbadfile2.dll” file
13. You have just removed Trojan.Win32.Obfuscated.gx from your computer manually.
 
buf aver, soy la chica del problema que no pudo abrir un tema por si misma...

Nose si tendrá que ver, pero cuando me salió por primera vez no le di a aceptar, porque olía bastante mal, y no le e dado nunca

Asique sigo los pasos, y ni me sale el programa en Agregar/Quitar Programas, ni me sale el proceso para poder terminarlo...asique a la hora de ir a eliminar los archivos que me indicas, me dice que estan siendo usados por un programa y que no puede (ya que evidentemente no he podido terminar el proceso)

Tanto en Quitar Hardware, como a la hora de terminar el proceso, busco el nombre del "virus" (o intento de virus) como dice en tu ayuda, o algo parecido, y no encuentro

Y por supuesto, me sigue saliendo el error cuando abro casi todas las carpetas
 
Hola witzi,
a la hora de ir a eliminar los archivos que me indicas, me dice que estan siendo usados por un programa y que no puede (ya que evidentemente no he podido terminar el proceso)
Hacer clic para expandir...

para esos procesos rebeldes que no quieren finalizar...
utiliza unlocker. aqui lo puedes descargar

tambien te recomendaria borrar cookies , historial y archivos obsoletos del sistema con Ccleaner y luego analizar el pc con el spybot

por otro lado hay una aplicacion que libera al navegador, cuando este es secuestrado por algun troyano, malware y demas fauna.

no creo que sea tu caso, aun que seguro que le sacas provecho a esa aplicacion.
fijo que te detecta el troyano y lo elimina de tu equipo, librandote del molesto y cansino mensaje de que "necesitas instalar una aplicacion para limpiar tu equipo".

pruebalo, no se pierde nada.

primero haz lo que te ha dicho razor, para eliminar los archivos y si no se dejan por que te sale que estan siendo usados por otro programa...
los machacas con el unlocker.

si continua el problema:
limpieza con ccleaner, y analisis con spybot.(doy por sentado que tienes antivirus actualizado) (y que ya tienes escaneado el sistema)

por ultimo
esta aplicacion seguro que te es util, a mi me ha resuelto algun caso, similar al tuyo.

ya nos contaras.

SALU2...

:xmassign2:
 
Vaya muchas gracias creo que se me soluciono ya todo

Muy utiles los programas, los he bajado todos y ando limpiando un poquito el ordenador

:xmassign: Gracias por todo
 
Ok. Lo damos por solucionado entonces. Feliz Navidad! :coolsnow:
 
Estado
Cerrado para nuevas respuestas
Back
Arriba