Ayuda Virus TrojanDownloader

[Humphry]

Hola

A ver si me podeis echar una mano con este virus o Troyano, más bien parece lo segundo, por el nombre.

Resulta que he realizado un Scan con mi antivirus, tengo el Kaspersky instalado y me ha localizado el siguiente virus:

TrojanDownloader.Win32.Agent.i. (No he conseguido encontrar información sobre éste virus en concreto ¿?)

Tengo infectados dos archivos en el directorio "System Volume Information\_restore{FAA91B24-8BDA4871-99BF-EP55D528AD1D}\RP158\A0066629.exe\data0037"

y el otro archivo es lo mismo sólo que cambia A0068254.exe

Le digo al antivirus que desinfecte, pero no puede ni desinfectarlos ni tampoco borrarlos .

Mi pregunta es dónde localizo estos archivos infectados, porque no logro saber donde están y si los consigo localizar ¿qué hago, me los cargo directamente? ¿jodería algo del S.O. si los elimino?.

¿Conoce alguien este virus o cómo eliminarlo?.

Saludos y gracias por vuestra ayuda

[bruixa843]

Humphy... no conozco el virus en cuestión.... qué antivirus tienes????
yo tengo el panda titanium 2004 ( cada año compro -sí, sí, lo compro- el que toca ) y, si me detecta alguno, lo desinfecta; si no puede desinfectarlo, lo renombra y me dice su ubicación... entonces lo busco y.... ta ta chán... me lo cepillo sin contemplaciones.
saludos
xauuuuuuuuuuu

[xaniox]

Wenas

Yo no he tenido muchas experiencias con troyanos (toco madera) pero he oído que hay un programa que va muy bien para esos casos y te los elimina del PC sin dejar rastro...

Trojan.Remover.v.6.1.6.Incl.Serial.rar

Saludos

[tunisio]

Humphry yo uso el antivirus Trend Micro y en su enciclopedia lees esto:

Virus Type: Trojan
Destructive: No
Aliases: Downloader-EX, TrojanDownloader.Win32.Agent.f, Trojan.DownLoader.129, TR/ClsLdr.Dummy.1

Overall risk rating: Very Low
Reported infections: Low
Damage Potential: Low
Distribution Potential: Low

Description:

This Trojan creates several registry entries on the infected machine. It may also add new entries in the Favorites folder of Internet Explorer and change the Serach and Start pages of the Internet Explorer.

It also overwrites the HOSTS file on Windows 2000, NT and XP systems.

This malware is compiled using Microsoft Visual C++. It runs on Windows 95, 98, NT, 2000, ME and XP.

Solution:

Identifying the Malware Program

Before proceeding to remove this malware, first identify the malware program.

Scan your system with TREND MICRO antivirus and NOTE all files detected as TROJ_AGENT.F. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO's free online virus scanner.

Removing Autostart Entries from the Registry

Removing autostart entries from registry prevents the malware from executing during startup. This is also an effective way to terminate its process. In this procedure, you will need the name/s of the file/s detected earlier.

1. Open Registry Editor. Click Start>Run, type Regedit then hit Enter.
2. In the left panel, double click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. In the right panel, locate and delete the entry or entries whose data value is the malware path and file name of the file/s detected earlier.
4. Close Registry Editor.

NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.

Removing Other Entries from the Registry

1. Still in the Registry Editor, in the left panel, double-click the following, if it exists:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Internet Explorer>Search
2. Right-click on the value "SearchAssistant" and choose:
Modify
3. In the Value Data text field, delete the old entry and type:
“about:blank"
4. Right-click on the value "SearchURL" and choose:
Modify
5. In the Value Data text field, delete the old entry and type:
“about:blank"
6. Right-click on the value "Search Bar" and choose:
Modify
7. In the Value Data text field, delete the old entry and type:
“about:blank"
8. Right-click on the value "Search Page" and choose:
Modify
9. In the Value Data text field, delete the old entry and type:
“about:blank"
10. Close Registry Editor

Resetting Internet Explorer Homepage and Search Page

This procedure restores the Internet Explorer homepage and search page to the default settings.

1. Close all Internet Explorer windows.
2. Open Control Panel. Click Start>Settings>Control Panel.
3. Double-click the Internet Options icon.
4. In the Internet Properties window, click the Programs tab.
5. Click the “Reset Web Settings…" button.
6. Select “Also reset my home page." Click Yes.
7. Click OK.

Additional Windows ME/XP Cleaning Instructions

Running TREND MICRO Antivirus

Scan your system with TREND MICRO antivirus and delete all files detected as TROJ_AGENT.F. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO’s free online virus scanner.

Espero haberte ayudado en algo Humphry

Saludos

Tunisio

[Humphry]

Gracias a los tres por contestarme e intentar ayudarme tan amablemente.

Instalé el Trojan Remover (gracias Xaniox) y le pasé el Scan y no me detectó nada. Posteriormente le pasé el Trend Micro Online (gracias Tuniso) y tampoco me detectó nada.

Asi que yo creo que debe ser cosa de mi antivirus (uso el Kaspersky Avp, brujita muchas gracias) que se ha vuelto un poco paranoico o que se lleva mal con algún fichero de algún programilla.

Saludos y gracias a todos nuevamente

[Corsario]

yo uso el mismo antivirus vete a la carpeta donde te diga q esta y escaneala todo configuralo para q los borre, si no consigue desinfectarlo se los cargara. no creo q te cargues nada.

[Humphry]

Gracias a ti también Corsario, pero ya he hecho eso que dices y curiosamente los detecta, pero no sé por qué no se los puede cargar.

A lo mejor la solución es borrar los archivos directamente, a pelo. Pero es que el directorio o la carpeta en donde están "System Volume Information" debe ser especial a la que no sé como puedo acceder, por que si voy a mi pc, c: no la veo (y eso que le doy a la opción de mostrar ocultos, pero que si quieres), sin embargo para los escáneres sí que me aparece.

No sé a ver si alguien me da una idea de 1º si puedo cargarme los archivos que mencioné en mi primer post y 2º la manera de hacerlo.

Gracias a todos

[paulfosco]

Panda dixit:
---------------------------------------------------------------

http://www.pandasoftware.es/virus_info/ ... irus=42511

¿Cómo saber si tengo Downloader.L?
Para verificar con exactitud si Downloader.L ha infectado su ordenador, dispone de las siguientes opciones:
Realizar un análisis completo del ordenador con su Panda Antivirus, después de verificar que está actualizado. Si no lo está y usted es cliente registrado de Panda Software, actualícelo pulsando aquí.
Chequear el ordenador con Panda ActiveScan, la herramienta gratuita de análisis online de Panda Software, que detectará rápidamente todos los posibles virus.
¿Cómo eliminar a Downloader.L?
Después, si durante el proceso de análisis, Panda Antivirus o Panda ActiveScan detecta a Downloader.L, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.
Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:
Borre la entrada que Downloader.L ha creado en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Sentry = %path%\Sentry.exe
donde %path% es el directorio donde el troyano está ubicado. Si el nombre del fichero cambia, el nombre de la entrada también cambiará.
Reinicie el ordenador.
Finalmente, para eliminar cualquier rastro de Downloader.L, vuelva a realizar un análisis completo de su ordenador con Panda Antivirus o Panda ActiveScan.
Notas adicionales:
Para obtener instrucciones sobre la modificación del Registro de Windows, pulse aquí.
Si su ordenador tiene Windows Millenium, pulse aquí para obtener más información sobre cómo eliminar el virus definitivamente.
Si su ordenador tiene Windows XP, pulse aquí para obtener más información sobre cómo eliminar el virus definitivamente.
¿Cómo protegerse de Downloader.L?
Para mantenerse protegido, tenga en cuenta los siguientes consejos:
Instale un buen antivirus en su ordenador. Pulse aquí para conseguir el antivirus de Panda más adaptado a sus necesidades.
Mantenga su antivirus actualizado. Si su antivirus admite las actualizaciones automáticas, configúrelas para que funcionen siempre así.
Tenga activada la protección permanente de su antivirus en todo momento.
Si quiere conocer con detalle todos los consejos necesarios para mantenerse a salvo de los virus, pulse aquí.


Información actualizada: 16/12/2003

----------------------------------------------------------------

Para Xp:

En ordenadores con Windows XP es posible que, tras eliminar virus y otras amenazas, el antivirus lo vuelva a encontrar en la carpeta _restore una y otra vez, sin poder eliminarlo.

Esta situación, provocada por una característica especial de Windows XP, no entraña ningún peligro, aunque puede crear alarma entre los usuarios no familiarizados con el funcionamiento de la carpeta _restore.



Pasos para eliminar definitivamente virus y otras amenazas y solucionar el problema

Haga clic con el botón derecho del ratón sobre MI PC.
Seleccione la opción Propiedades.
Pulse en Restaurar sistema.
Active la casilla Desactivar restaurar sistema o Desactivar restaurar sistema en todas las unidades.
Pulse Aplicar y luego Aceptar.


Pasos para activar de nuevo la opción Restaurar sistema

Haga clic con el botón derecho del ratón sobre MI PC.
Seleccione la opción Propiedades.
Pulse en Restaurar sistema.
Desactive la casilla Desactivar restaurar sistema o Desactivar restaurar sistema en todas las unidades.
Pulse Aplicar y luego Aceptar.


Información adicional

Windows XP incluye la posibilidad de restaurar el sistema de forma automática, recuperando los archivos eliminados o las configuraciones del sistema modificadas de forma accidental.

Para ello, Windows XP va guardando todos los elementos eliminados o modificados en un directorio oculto denominado _restore, que está protegido para que su contenido no pueda ser manipulado por nada ni por nadie.

Esta característica, muy ventajosa a priori, puede provocar el siguiente conflicto: al realizar un análisis con el antivirus, éste detectará los archivos infectados y los borrados, que Windows XP pasará a la carpeta _restore.

Por tanto, al hacer un nuevo análisis, el antivirus volverá a detectar el archivo infectado en la carpeta _restore, pero no podrá eliminarlo, ya que el archivo está protegido por el sistema operativo y fuera de su alcance.

[Humphry]

Muy bien, pero que muy bien, paulfosco , pos eso de Xp y la carpeta de restauración del sistema era lo que me pasaba. Ya he realizado los pasos de quitar y poner restauración y voilà ya no me encuentra el dichosito virus, que estaba de chillidos (menudos gritos pega la alerta antivirus) hasta el moño.

Lo dicho mil gracias.

Un saludo mu grande a todos

[Tuppence]

Hola:

Estoy buscando el download.trojan en mi equipo, porque anoche el Norton me alertó sobre el mismo. He pasado varios antivirus, pero no lo detectan.

Yo notó que todo me va más lento (sobre todo cuando está el emule).

Tengo Windows XP y navego con explorer. En la página de Symantec aconsejan un procedimiento para eliminar el troyano: uno de los pasos es desactivar "restaurar sistema". Pero en la casilla correspondiente me avisan de que, si lo hago, perderé todos los puntos de referencia para retrotraer el equipo a un estado anterior.

¿Me conviene hacerlo? ¿Si lo desactivo pierdo la oportunidad de volver a un punto en el que no tenía el virus?


¿Alguien conoce un buen método para quitarse del medio el troyano?

Saludos.

[grrrrrrrrrrrr]

No puedes restaurar el sistema a un punto donde no tenías el virus, porque (según he leído) el virus emplea esa característica para "ir" al punto del sistema dónde no tenías virus, si es que lo restauras a ese punto, el virus se incluye él solito, o sea que si quieres desactivar el virus tienes que desactivar "restaurar sistema" también. En este foro te explican por pasos qué es lo que debes hacer cuándo agarras una de estas molestas infecciones: http://www.forospyware.com , hay tutoriales y siempre suelen responderte los mensajes.

[Tuppence]

Gracias, grrrrrrrrrrrr. Este fin de semana, lo pruebo... La verdad es que el Norton no ha vuelto a dar ningún aviso... Pero, por eso, más miedo me da.

Saludos.