Foro de Spyware - Ver Mensaje Individual - PrObLeMa DeBiDo A MaLwArE (Solucionado)

Tema: PrObLeMa DeBiDo A MaLwArE (Solucionado)

Ver Mensaje Individual

post #9 (permalink)

16/08/08, 11:59:51

amid4

Usuario

Registrado: ago 2007

Ubicación: España

Mensajes: 17

Re: PrObLeMa DeBiDo A MaLwArE

desactive el restaurar el sistema pase el malwarebytes sin modo seguro y borre los archivos peligrosos, puse el modo a prueba de fallos y pase karpesky aqui tienes los logs

Malwarebytes' Anti-Malware 1.24
Versión de la Base de Datos: 1012
Windows 5.1.2600 Service Pack 2

14:50:56 16/08/2008
mbam-log-8-16-2008 (14-50-56).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 139112
Tiempo transcurrido: 45 minute(s), 7 second(s)

Procesos en Memoria Infectados: 1
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 5
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 11
Ficheros Infectados: 6

Procesos en Memoria Infectados:
C:\WINDOWS\system32\lphcea5j0e73g.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Módulos en Memoria Infectados:
C:\WINDOWS\system32\blphcea5j0e73g.scr (Trojan.FakeAlert) -> Delete on reboot.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcaa5j0e73g (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\lphcea5j0e73g (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\HKCU\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\HKLM\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\StartMenu AllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Autorun\StartMenu CurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Datos de programa\rhcaa5j0e73g\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcea5j0e73g.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcea5j0e73g.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Configuración local\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Configuración local\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amida\Favoritos\Online Security Test.url (Rogue.Link) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 16 de agosto de 2008 15:38:09
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 16/08/2008
Registros en la base antivirus: 1098460
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Áreas críticas:
C:\WINDOWS
C:\DOCUME~1\Amida\CONFIG~1\Temp\

Estadísticas:
Número de objeros analizados: 20608
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 00:15:40

Bombre del objeto infectado / Nombre del virus / Última acción
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\ime\frase.txt Infectados: Trojan-Clicker.HTML.IFrame.rp saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 16 de agosto de 2008 16:50:46
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 16/08/2008
Registros en la base antivirus: 1098460
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 104655
Virus encontrados: 3
Objetos infectados: 4 / 0
Objetos sospechosos: 2
Duración del análisis: 01:11:50

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos comunes\Microsoft Shared\eER.exe Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvchost.zip/svchost.exe Sospechosos: Password-protected-EXE saltado
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvchost.zip ZIP: sospechoso - 1 saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\07162FCA.sys Infectados: Email-Worm.Win32.Zhelatin.vl saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\133F74B1.sys Infectados: Email-Worm.Win32.Zhelatin.vl saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\180B1F6A.sys Infectados: Email-Worm.Win32.Zhelatin.vl saltado
C:\Documents and Settings\Amida\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Amida\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Amida\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Amida\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Amida\Configuración local\Historial\History.IE5\MSHist0120080816200808 17\index.dat Object is locked saltado
C:\Documents and Settings\Amida\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Amida\ntuser.dat Object is locked saltado
C:\Documents and Settings\Amida\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\ime\frase.txt Infectados: Trojan-Clicker.HTML.IFrame.rp saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.

Como ves con karspesky use 2 analisis nose si esta bien o esque hice lo mismo. Aun persiste el problema.