Hola.... hace dos dias que a traves del pendrive contagié mi pc con un troyano.... no sé cual es su nombre pero el eset nod 32 me arrojó el siguiente mensaje de alarma...
Archivo:
c:/windows/system32/35c4Be/i-783.exe

Codigo malicioso
win32/fly studio.npl (troyano)

c:/windows/system32/8D4D69/c738E3.exe. El archivo ha sido movido a la carpeta cuarentena..


Y yo he partido a esa carpeta y lo he eliminado..... pero éste vuelve a apareceer ..... Intenté entrar a modo seguro en el pc pero algo pasó que no pude finalmente entrar.... me salió un mesaje que decia que windows se habia apagado automaticamente para evitar daños..... y me pedia que revisara el pc en busca de virus y otras cosas....

Tengo en el pc el nod 32 y descragué el norton para ver si éste último lo eliminaba.... pero nada de nada.... y no sé si será por el troyano pero me está costando entrar a paginas que contengan información de antivirus......
Tmbién seguí la ruta donde se encontraba el archivo i-783.exe pero no aparecia .....activé la opción ver archivos y carpetas ocultos y tampoco salia..... asi que no tengo idea de donde se ha metido este troyano .....

Si alguien me pudiese dar información sobre este escurridiso bicho y cómo hallar donde se esconde y claro las herramientas para eliminarlo...... uffffff...... lo agradeceria mucho...

Aparentemente crea directorios y nombres de ejecutables aleatoriamente. Tratá de instalar Procexp, que te va a informar de los procesos que se están ejecutando en tu pc, de donde vienen los archivos, y a qué empresa pertenecen. Prestá mucha atención al nombre de la empresa, porque muchas veces es Msoft en vez de Microsoft, o Grsoft en vez de Grisoft (los creadores del AVG). Esto se hace para que te suene a empresa verdadera, y puede confundir.
Una vez que identificás el proceso que está causando el problema, podés matarlo (kill) así como toda la rama. Incluso ubicarlo en el registro. ESto no lo limpia, porque se vuelve a generar al reiniciar, pero te permite correr el antivirus, incluso los de internet, como panda o bitdefender.
Suerte y posteá cómo te fue.
PD: Fijate el thread que contiene un tuto para inmunizar de modo casero los pendrives.

__________________
Desorientado como Cobos el día de la lealtad...

Elcarabia ...gracias por el dato del Procexp.... éste muestra los procesos de mi pc pero el problem es que no aparece ningun nombre de empresa algo modificada.... asi que no puedo reconocer el proceso que está molestando..... La verdad es que soy bastante ignorante en esto de enfermedades de pc , incluso eso último que me dices del thread, el tuto para proteger pendrive es lenguaje extraño para mí......
Pero se agradece la ayuda ...y estoy pendiente de cualquier comentario sobre este problema troyano....

Lo del pendrive es más que simple, es crearle un archivo de texto, no te podés perder. Más tarde to lo busco. Básicamente era crearle un archivo y nombrarlo autorun.inf y darle atributos de oculto y sistema.
Lo del procexp, no me acuerdo si podés grabar un log (archivo de texto con el resultado del análisis), pero si es así veo cómo te guío para postearlo y ver qué está pasando.
Bajate también el hijackthis y posteá el log, para saber dónde se carga el programa residente que te está molestando.
Muchas veces es cuestión de paciencia, pero así aprendés en el proceso, y eso no te lo quita nadie...

__________________
Desorientado como Cobos el día de la lealtad...

Hola.... inetnté lo que me descargué el hijackthis y me arrojó esta información:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:38, on 17/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\8D4D69\C738E3.EXE
C:\Archivos de programa\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\Archivos de programa\Eset\nod32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador\Escritorio\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\uudc.exe \s
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Archivos de programa\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [C738E3] C:\WINDOWS\system32\8D4D69\C738E3.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: C738E3.lnk = C:\WINDOWS\system32\8D4D69\C738E3.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

--
End of file - 4677 bytes

Lo único que pude ver que se parecia a mi problema es esta linea :

O4 - Startup: C738E3.lnk = C:\WINDOWS\system32\8D4D69\C738E3.EXE , donde ese ejecutable al final se parece al que me arroja el eset " i-783.exe" , además parece que ya empieza a hacer un poco de daño este bicho ya que al encender el pc me apareció un nuevo mensaje con unas 6 lineas de basura......
Agradezco tu ayuda y los consejos de programas para detectar al bicho.... pero como te digo sobre este tema escasamente me manejo con lo mínimo que sería arrancar el antivirus y nada más....
Bueno ahí está la información que arrojó el hijackthis y lo poco que pude entender....

Efectivamente, tenés que marcar esa línea en el hikacjthis y darle a fix para que te la quite del inicio.
O4 - HKLM\..\Run: [C738E3] C:\WINDOWS\system32\8D4D69\C738E3.EXE
Como está en el run, cada vez que iniciás te corre el programa, que en este caso es el troyano. En el procexp vas al mismo programa y lo matás (botón derecho, kill process). Una vez que mataste el proceso vas a la carpeta windows\system32 y borrás esa carpeta completa. Si te trae algún inconveniente bajás unlocker, que destraba cualquier archivo para que pueda ser borrado, (paciencia, ya llegamos). Hacés Win+r y escribís regedit. Navegás por las ramas hasta HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, Current Version, Run. (Esto que aparece a la derecha corre al iniciar, si encontrás referencia al bicho, lo eliminás).
Lo mismo hacés en las carpetas run once, y en cualquiera que comience por run en esa rama.
Ahora estarías listo para actualizar y correr el antivirus, si es online mejor (como panda o bitdefender). Todavía no reinicies porque no sabemos si "The chobi" no tiene forma de regenerar la carpeta y sus referencias en el registro desde otra carpeta oculta que todavía no conocemos. De eso se encarga el antivirus.

__________________
Desorientado como Cobos el día de la lealtad...

Añado porque no lo lei en el post ni se si se discutio, desactiva restaurar sistema porque sino te va a reinfectar en cada booteo.
Si te deja bajar el malwarebytes te lo recomiendo para casos como este.
Como sugerencia, no tendria ambos antivirus al mismo tiempo y si tuviera que elegir me quedo con el nod32 siempre que sea v3 o v4.
Salu2 y suerte.

__________________
"El patriotismo es la virtud de los sanguinarios" - Oscar Wilde
"La Vida es una enfermedad sexualmente transmitida, cuyo desenlace es fatal"
"Fe significa no querer saber la verdad" - Friedrich Nietzsche

Gracias ... todo lo que sea solucionar el problema y aprender a solucionar futuros se agradece.... espero poder devolver la ayuda a alguien de toda esta experiencia....
Y a propósito , me tuve que escribir en excel lo que me arrojaba el procexp :

PROCESS PID CPU DESCRIPCION COMPANY NAME

System IDLE process 0 91,18
Interrupts n/a hardware interrupts
DPCs n/a Deferred procedure Calls
System 4 0,46
smss.exe 676 Administrador de sesión de windows NT microsoft corporation
csrss.exe 724 0,54 Client server runtime process microsoft corporation
winlogon.exe 748 Aplicación de inicio de sesión de windows NT microsoft corporation
services.exe 792 1,52 Aplicación de servicios y controlador microsoft corporation
svchost.exe 964 Generic Host Process for win32 services microsoft corporation
svchost.exe 1032 Generic Host Process for win32 services microsoft corporation
svchost.exe 1164 Generic Host Process for win32 services microsoft corporation
svchost.exe 1284 Generic Host Process for win32 services microsoft corporation
svchost.exe 1416 Generic Host Process for win32 services microsoft corporation
spoolsv.exe 1608 Spooler Subsystem App microsoft corporation
nod32Km.exe 1916 NOD32 Kermel Services Eset
ccSvcHst.exe 1988 Symantec Services Framework Symantec Corporation
ccSvcHst.exe 2448 Symantec Services Framework Symantec Corporation
svchost.exe 392 Generic Host Process for win32 services microsoft corporation
alg.exe 1572 Application Layer Gateway Service microsoft corporation
Isass.exe 804 LSA Shell (Export Version) microsoft corporation
explorer.exe 1916 Explorador de windows microsoft corporation
Monitor.exe 2008 Registry Monitor Pixtart Imaging Incorporation
nod32kui.exe 2020 NOD32 Control Center GUI Eset
ctfmon.exe 2036 CTF Loader microsoft corporation
c738e.EXE 252
procexp.exe 2472 5,97 Sysinternals Process Explorer Sysinternals
excel.exe 3564 1,49 Microsoft office Excel microsoft corporation


Ahí está.... es lo que he podido reescribir del procexp....