Troyanos y otras zarandajas…

Debido a una cosa curiosa con el acceso a una Web con identificación Live ID me encuentro que tengo un troyano en mi ordenador: cuando accedía a identificarme aparecían cuentas aleatorias y no precisamente la mía.
RFOG me indicó la posibilidad de tener “un regalito” dentro y yo, a la primera, le digo que nanay pero claro, no era normal lo que pasaba.
No sé cómo-cuándo-dónde se metió dicho troyano, el caso es que entré en la ventana del Nod32 (siempre lo veo silencioso) y me encuentro en Cuarentena unas cuantas referencias ¿¿??

Elimino todo lo que está en Cuarentena y el archivo “esentutl.exe” que se encuentra en UsersVistaAppDataRoaming (su sitio “bueno” es en System32 donde también está), primero hay que “matar” el proceso desde el Administrador de Tareas
Elimino también del registro la referencia a él en:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NT
CurrentVersionWindowsLoad: C:UsersVistaAppDataRoamingesentutl.exe

Esos últimos días había visto un mensaje del Firewall solicitando permiso para desbloquear… no se lo concedía, naturalmente puesto que YO no estaba haciendo ni solicitando nada.
A la vez estaba viendo una carpeta en el TEMP del Sistema llamada TMP y que almacenaba justamente lo que bloqueaba.

También encuentro una referencia en un foro a lo mismo:
http://www.trucoswindows.net/foro/topico-113471-virus-en-hotmail.html
y observando sus procesos veo: C:DOCUME~1ADMINI~1DATOSD~1esentutl.exe

Después de esto ya no sucede lo de la identificación, aparece mi dirección correctamente pero…
no me quedo muy tranquila así que bajo el Spyware Doctor y analizo el PC.
1- Troyan.CWS: favoritos relacionados con Terra/Infonegocio
2- Backdoor.IRC.Zapchast: favoritos relacionados con páginas personales de Ya.com

No entiendo de estos temas pero, ¿cómo es posible que un simple acceso directo a una página sea una amenaza? Vale, las elimino con lo que me quedo sin todos mis favoritos a esas páginas y vuelvo a pasar: limpio.
Accedo a dichas páginas desde la barra de direcciones y vuelvo a pasar “el doctor”… de nuevo y con tipo alto me aparecen amenazas en el registro: TypedURLs, url1 y url2
¿¿?? sigo sin entender nada pero no te quedas muy tranquila viendo eso así que…

Instalo el HijackThis y lo ejecuto. El log “parece” correcto: Procesos, servicios, configuración de IE, etc.

Instalo y ejecuto SpyBot
me encuentra:
HKEY_USERSS-1-5-21-3961907316-419455323-3782589188-1000SoftwareMicrosoftInternet ExplorerMainFeatureControlFEATURE_LOCALMACHINE_LOCKDOWN
eiexplore.exe
Estaba en 0 y “parece ser que” tiene que estar en 1 así que lo modifico

Luego busco información al respecto: se refiere a XP y yo estoy con Vista.
http://support.microsoft.com/kb/878461/es
también encuentro que “0” desactiva la barra de información de Internet Explorer ¿? no me queda claro.

Resumiendo: sigo sin entender nada y sin encontrar explicación a por qué marca como amenaza “un simple” acceso directo (favorito) a unas páginas “supuestamente” fiables y a las cuales se entra sin redirecciones ni “otras zarandajas”, sobre todo a las que son páginas diseñadas por mí, alojadas en las personales de Ya.com

Continuará… si encuentro algo.

Deja un comentario