Trojan-Clicker.Win32 Agent.jh (socorro!!)

sinclair1961 · #1 (**permalink**) 06/04/2007, 23:30

Amigos:
Estoy empantanado con el siguiente problema: Tengo Windows XP y me protejo con "McAfee Internet Security Suite" y "Ad-Aware SE". De pronto, dejó de funcionar el McAfee y ni siquiera puedo ejecutar alguna de sus aplicaciones.
Lo primero que hice fue usar el análisis online de McAfee (que no detectó nada) y luego usé el análisis online de Kaspersky, que detectó unas cuantas cosillas. Entre ellas, el maldito Trojan-Clicker.Win32 Agent.jh.
En realidad, este es el listado de informe del análisis:-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 07 de abril de 2007 1:48:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 7/04/2007
Registros en la base antivirus: 275631
-------------------------------------------------------------------------------

nombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked saltado
C:\Archivos de programa\Kodak\Kodak EasyShare software\Catalog\EasyShare.me Object is locked saltado
C:\Archivos de programa\Kodak\Kodak EasyShare software\Catalog\EasyShare.mm Object is locked saltado
C:\Archivos de programa\McAfee\SpamKiller\MskAgent.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\Agent\mcagent.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\Agent\mcupdate.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\MPS\mscifapp.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\Personal Firewall\MpfTray.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\VSO\mcmnhdlr.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\QuickTime\qttask.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Archivos de programa\Winamp\Winampa.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Logs\Filtering.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee.com\Agent\Logs\TaskScheduler\McTsk shd002.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee.com\VSO\OASLogs\OAS.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
C:\Documents and Settings\Fabiana\Configuración local\Archivos temporales de Internet\Content.IE5\Y76R65QR\mc2[1].js Infectados: Trojan.JS.Agent.b saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Archivos temporales de Internet\Content.IE5\8DAN0LQN\mc2[1].js Infectados: Trojan.JS.Agent.b saltado
C:\Documents and Settings\Pombo\Configuración local\Archivos temporales de Internet\Content.IE5\8DAN0LQN\nweb2[1] Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\Documents and Settings\Pombo\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Archivos temporales de Internet\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Historial\History.IE5\MSHist0120070406200704 07\index.dat Object is locked saltado
C:\Documents and Settings\Pombo\Configuración local\Temp\metasploit.exe Infectados: Trojan-Downloader.Win32.Delf.aco saltado
C:\Documents and Settings\Pombo\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Pombo\Datos de programa\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked saltado
C:\Documents and Settings\Pombo\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Pombo\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{CF41A4 B8-6321-48A5-AA3A-DD468C3A605E}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\NeroCheck.exe Infectados: Trojan-Clicker.Win32.Agent.jh saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.

El asunto es que ahora sé quién es el enemigo, pero no tengo ni idea de qué hacer para eliminarlo. Por favor, ¿serían tan amables de aconsejarme? Toda ayuda será bien recibida. Muchas gracias desde ya.

Gpastor · #2 (**permalink**) 07/04/2007, 12:39

Hola, te doy la bienvenida al foro, si el McAffe no está funcionando entonces desinstálalo momentáneamente, luego como Kaspersky está detectando la infección, descarga e instala Kaspersky Anti-Virus 6.0 y realiza un escaneo en Modo Seguro. Luego pasa un limpiador de registro Regseeker para eliminar los residuos que la infección pudo haber dejado, pásalo hasta que no quede nada para eliminar.

Recuerda que esa versión de Kaspersky tiene un periodo de 30 días, pasados estos la licencia se vencerá por lo que deberás desinstalarlo e instalar tu antivirus.

Ya nos contarás los resultados.

Saludos

sinclair1961 · #3 (**permalink**) 07/04/2007, 18:21

Ahora surgió un problema extra: no es posible desinstalar el McAfee.
Si intento hacerlo a través de la vía normal (Inicio, Panel de Control, Agregar o quitar programas, Asistente para desinstalación de McAfee), me sale un mensaje de "Error en secuencia de comandos...." y no me permite desinstalar nada. Pero es estrictamente necesario que lo haga para instalar el Kaspersky que bajé en su versión de prueba.
Probé a reinstalar el McAfee a través del CD que tengo, pero el programa de instalación me dice que "hay una versión más nueva instalada" y debo desinstalarla primero.
Estoy desesperado y sin ideas. Por favor, ayúdenme!!!!

Gpastor · #4 (**permalink**) 07/04/2007, 18:48

El problema es que si tienes 2 antivirus como residentes estos causarían conflicto entre ellos y desestabilizar el sistema.

Te recomiendo que desactives el McAfee de esta manera: Vas a Inicio-->Ejecutar escribes msconfig y presionas la tecla Enter, vas a la pestaña Inicio y desactivas el o los procesos asociados a McAfee, al reinicio del sistema aparecerá un mensaje donde debes seleccionar la opción "No volver a mostrar este mensaje al reiniciar" luego presionas el botón Aceptar.

Con esto al menos ya no tendrás activo el McAfee al reinicio del sistema ny no causará conflictos con Kaspersky.

Para poder desinstalar McAfee intenta hacerlo en Modo Seguro.

Saludos

sinclair1961 · #5 (**permalink**) 08/04/2007, 17:39

Amigo: he seguido puntualmente tus consejos y el problema ha sido solucionado. Te cuento los pasos que han sido necesarios:
Desinstalé el McAfee usando "Modo Seguro".
Borré los archivos que el análisis online de Kaspersky me indicó como infectados.
Bajé la versión de prueba de AVG antispyware, la actualicé, la hice funcionar y desinfecté el equipo.
Compré el paquete de NOD32, lo instalé y lo dejé como única protección, ya que es antivirus, antispyware y antispam. He estado tentado de dejar activo algún otro antispyware, pero no lo hice temiendo conflictos con el NOD32.
He escaneado con el NOD32 y todo está bien.
De modo que: MIL GRACIAS !!!!!!
Una última pregunta: ¿sugieres alguna otra medida de protección extra, como ser algún firewall o cosa por el estilo?

Gpastor · #6 (**permalink**) 08/04/2007, 21:28

La configuración que recomiendo es la siguiente:

Zonas de descarga
Infospyware y Forospyware

Antivirus (de pago)
Nod32 o Kaspersky

Antivirus (gratuitos)
Avast o AVG

NOTA: Recuerda que solo debes tener un antivirus como residente en memoria ya que si mas de un antivirus se encuentra como residente crearán conflictos entre ellos y ralentizar el sistema.

Firewall
Zone Alarm

Para prevenir spyware
SpywareBlaster y SpyBot S&D

Para limpiar spyware
MalwareBytes Antimalwares, SuperAntispyware o AVG Antispywares

Para la limpieza del registro
Ccleaner

Limpieza de archivos
Disk Cleaner

Limpieza de archivos manualmente
FileASSASSIN

Limpieza de malware manualmente
HijackThis

Navegador
Firefox u Opera

Saludos