Foro de Spyware - Ver Mensaje Individual - troyano, problema con archivos ocultos y "abrir con"

Tema: troyano, problema con archivos ocultos y "abrir con"

Ver Mensaje Individual

post #1 (permalink)

29/02/08, 20:35:18

xuano

Usuario

Registrado: mar 2007

Ubicación: España

Mensajes: 40

troyano, problema con archivos ocultos y "abrir con"

Tengo un problema parecido al de eliza1919, pero lo pongo aquí porque no quiero mezclar cosas y que se haga un lío.

Cito lo que dice eliza1919 en su tema:
"
El día de hoy, al buscar una carpeta que tengo como oculta me di cuenta de que no puedo ver los archivos ocultos, pues activo la vista, doy aceptar y no aparecen, al volver a abrir las opciones de carpeta aparece como si nunca la hubiera activado, así pasó varias veces. Luego, quise abrir mi partición D:/ y me aparece un cuadro de diálogo de "Abrir con". Lo mismo pasa cuando intento abrir C o cualquier otra unidad. En días pasados hice limpieza con el elistara, ewido y el kapersky, logrando detectar algunos virus, entre ellos un troyano y el gusano brontok.worm o algo así. Eliminé todo lo que había que eliminar (desactivando restaurar sistema) y por último pasé el ccleaner."

A mi me pasa prácticamente los mismo, así que voy a seguir los pasos que vais poniendo aquí a ver si se me soluciona, que no quiero perder nada de información. Lo que pasa que a mi me sale el trojan-psw.win32.onlinegames

Cuento un poco lo que me pasó:
estaba yo trabajando delante de mi portátil sin tocar nada, haciendo unos dibujos, y de repente me saltó el antivirus advirtiéndome de un troyano. Lo eliminé. Al cabo de unos segundos, se abrió la ventana de internet explorer (que no suelo utilizar nunca) y empezaron a abrírseme pestañas. Tuve que terminar el proceso para que dejara de abrirse pestañas. Puse a analizar, y me detectó varios archivos infectados o troyanos o lo que fuera. Durante todo el análises, cada uno de los 6 objetos que había encontrado, iba apareciendo de nuevo y tenía que volver a eliminarlo. Cuando acabé el análisis, me di cuenta que no podía entrar en C:\, y como el troyano se ve que aún seguía, y oculto, probé desocultar archivos y elminarlo con el FILEASSASSIN (no sé si se podía, pero probé), entonces es cuando me di cuenta que tampoco podía mostrar archivos ocultos.
Y bueno, colgaría aquí el informe que me generó el Kaspersky, pero me generó la burrada de archivo de 95 MB, y como que llenaría unas cuantas páginas sólo con el informe.

He seguido unos pasos que he visto en algunos temas:
- Primero he pasado el CCleaner

- Luego he pasado el Malwarebytes

Cita:

Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 423

Tipo de examen : Examen Completo (C:\|E:\|)
Objetos examinados: 158189
Tiempo transcurrido: 1 hour(s), 1 minute(s), 30 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 4
Ficheros Infectados: 9

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger) -> Data: kdslg.exe -> No action taken.

Carpetas Infectadas:
C:\Archivos de programa\WebMediaPlayer (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\resources (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\skins (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\updates (Adware.EGDAccess) -> No action taken.

Ficheros Infectados:
C:\Archivos de programa\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\WebMediaPlayer.url (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\resources\languages.xml (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\resources\webmedias (Adware.EGDAccess) -> No action taken.
C:\Archivos de programa\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32\keapladyvj_navps.dat (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32\keapladyvj_nav.dat (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32\lsass.log (Heuristic.Reserved.Word.Exploit) -> No action taken.

y lo he eliminado todo.

- He ejecutado el RegUnlocker para reparar lo de los archivos ocultos.

- He seguido los pasos que le han aconsejado a eliza1919 aquí

- He escaneado de nuevo con el Kaspersky online y me ha salido este informe:

Cita:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 01 de marzo de 2008 0:45:04
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 29/02/2008
Registros en la base antivirus: 590811
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 127625
Virus encontrados: 1
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 02:13:28

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Hp\hpcoretech\hpcmerr.log Object is locked saltado
C:\Archivos de programa\MSD_Soft\TareasMsdMU\Servidor\DbServer\db srvr.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\095d_File_Monitoring_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\0961_Web_Monitoring_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.idx Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\report.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\ApplicationHistory\cli.exe.72313fbf.ini.i nuse Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_360.wmdb Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Temp\Perflib_Perfdata_1020.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Temp\Perflib_Perfdata_62c.dat Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Temp\~DF3225.tmp Object is locked saltado
C:\Documents and Settings\nombre\Configuración local\Temp\~DF5B94.tmp Object is locked saltado
C:\Documents and Settings\nombre\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \cert8.db Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \GoogleToolbarData\googlesafebrowsing.db Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \history.dat Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \key3.db Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \parent.lock Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \search.sqlite Object is locked saltado
C:\Documents and Settings\nombre\Datos de programa\Mozilla\Firefox\Profiles\89jbjsmy.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\nombre\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\nombre\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{46C4F50D-0ECB-4B33-AFA1-AE1A6069AFA1}\RP1\A0000719.inf Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado
C:\System Volume Information\_restore{46C4F50D-0ECB-4B33-AFA1-AE1A6069AFA1}\RP1\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\Credenti.evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked saltado
C:\WINDOWS\Temp\~DF6543.tmp Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
E:\System Volume Information\_restore{46C4F50D-0ECB-4B33-AFA1-AE1A6069AFA1}\RP1\A0000718.inf Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado
E:\System Volume Information\_restore{46C4F50D-0ECB-4B33-AFA1-AE1A6069AFA1}\RP1\change.log Object is locked saltado

Análisis completado.

- He utilizado el FileASSASSIN para eliminar los 2 archivos infectados.

* Ya me deja entrar en C:\ y E:\

Mañana pasaré de nuevo el kaspersky para asegurarme de que no hay nada. ¿Algún consejo?

Saludos y muchas gracias

Última edición por xuano fecha: 29/02/08 a las 20:38:02.