Troyano:HEUR:Trojan.Win32.Generic.

RuBenXitoH · 24 Dic 2011

Hola a tod@s,bueno explico mi problema,,hoy al encender el ordenador mi kaspersky antivirus internet security 2012 me lanzo multiples amenazas con HEUR:Trojan.Win32.Generic. lo que me hace el volverme lentisima la PC y sobretodo el navegador mozilla firefox 8.0.Lo raro es que me los deja eliminar pero cuando reinicio y vuelvo a encender la PC al dia siguiente o asi los virus troyanos vuelven a aparecer con el mismo nombre.Estoy preocupadísimo y desesperado.Se regeneran,bueno aquí les dejo mi log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:04, on 24/12/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
O4 - HKLM\..\Run: [BCU] "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
O8 - Extra context menu item: Agregar al componente Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ASUS Com Service (asComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AXSP\1.00.13\atkexComSvc.exe
O23 - Service: ASDiskUnlocker - ASUSTeK Computer Inc. - C:\Program Files (x86)\ASUS\Disk Unlocker\ASPFSVS64.exe
O23 - Service: ASUS HM Com Service (asHmComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AAHM\1.00.14\aaHMSvc.exe
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe
O23 - Service: Servicio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Belkin WLAN service (WLANBelkinService) - Unknown owner - C:\Program Files (x86)\Belkin\F7D4101\V1\wlansrv.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8016 bytes

Espero sus respuestas y espero que me puedan ayudar porfavor

razor · 25 Dic 2011

Hola, elimina esta clave:

R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll

Despues baja:

Malwarebytes.org

SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

CCleaner - Home

Pasalos los 3 y elimina todo lo que encuentre. Salu2

RuBenXitoH · 25 Dic 2011

Te cuento,,Ahora mismo acaba de terminar el examen completo del AntiMalware y me ha detectado 9 amenazas estoy bastante preocupado.Le he dado a eliminar y me ha dado el siguiente log:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Versión de la Base de Datos: 911122502

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

25/12/2011 14:14:40
mbam-log-2011-12-25 (14-14-40).txt

Tipos de Análisis: Análisis Completo (C:\|)
Objetos examinados: 290839
Tiempo transcurrido: 14 minuto(s), 32 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 3
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 6

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\balancerexp (Trojan.Agent) -> Value: balancerexp -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\isofont (Trojan.Agent) -> Value: isofont -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> Delete on reboot.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
c:\Users\Rubén\AppData\Local\Temp\9E37.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\balancerexp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Rubén\AppData\Roaming\isofont.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Rubén\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\2E8O1QJ8\7[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Rubén\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\NE0E2W11\3[1].exe (Spyware.Password) -> Quarantined and deleted successfully.
c:\Users\Rubén\AppData\Local\Temp\imigctrl.exe (Trojan.Agent) -> Quarantined and deleted successfully.

PD:Esta vez el antivirus no me los detectó,pero el antimalware si,ya te digo los elimino y vuelven a aparecer.

RuBenXitoH · 29 Dic 2011

Pensé que me ivan a responder rápido y bien pero veo que no.Creí que este foro era bueno pero me equivoco.Dais el tema por solucionado?Porque no lo está que fracaso

razor · 29 Dic 2011

¿has leido lo que te puse?

indy · 29 Dic 2011

RuBenXitoH dijo:
Pensé que me ivan a responder rápido y bien pero veo que no.Creí que este foro era bueno pero me equivoco.Dais el tema por solucionado?Porque no lo está que fracaso

No sé si te has parado a pensar que ésto es un foro y no un servicio técnico. Aquí la ayuda se presta desinteresadamente en nuestro tiempo libre; no estamos delante del PC las 24 horas 7 días a la semana, y mas en esta época navideña, así que creo que esas palabras están de más.

Respecto a tu problema, razor te indicó unos pasos que no sabemos si has seguido en su totalidad, en cualquier caso, te dejo unos pasos a seguir, si quieres.

Descarga y/o actualiza Malwarebytes a la última versión (va por la versión 1.60.0.1800): Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Descarga Dr.Web CureIt!: Dr.Web CureIt! —

Descarga Ccleaner: CCleaner - Optimization and Cleaning - Free Download

Reinicia en modo seguro, si no puedes continúa en modo normal
Análisis completo con Malwarebytes, elimina lo que encuentre: Mostrar resultados -> Eliminar seleccionados (si te pide reiniciar, lo haces)
Análisis con Dr.Web CureIt!, primero uno rápido (lo hace por defecto), luego un análisis completo, cura lo que encuentre, si no se pueden curar los eliminas.
Cuando acabe, puede tardar varias horas, Ve a Archivo -> Grabar lista de Informes. Guárdalo en el escritorio
Reinicia. Ejecuta Ccleaner y utilízalo en sus 2 modos, limpiador y registro

Haz un análisis online con ESET Online Scanner

Marca las siguientes casillas:

Eliminar las amenazas detectadas
Analizar archivos

Haz clic en Configuración adicional y marcas las casillas:

Analizar en busca de aplicaciones potencialmente indeseables
Analizar en busca de aplicaciones potencialmente peligrosas
Activar la tecnoligía Anti-Stealth

Clic en el botón "Iniciar" para que descargue la base de firmas y luego empiece a analizar.

Pega los logs de Malwarebytes, Dr.Web CureIt y Eset Online Scanner (este último lo puedes encontrar en C:\Archivos de programa\ESET\ESET Online Scanner\log). Comenta cómo va el PC.

Saludos y felices fiestas!

Troyano:HEUR:Trojan.Win32.Generic.

RuBenXitoH

Member

razor

Administrador Global del Foro

RuBenXitoH

Member

RuBenXitoH

Member

razor

Administrador Global del Foro

indy

Administrador del Foro

Online statistics

Forum statistics