Foro de Spyware - Ver Mensaje Individual - Tengo Programas Malignos en el PC...(Solucionado)

Tema: Tengo Programas Malignos en el PC...(Solucionado)

Ver Mensaje Individual

post #3 (permalink)

19/08/08, 10:04:18

ManCaribe

Usuario

Registrado: ago 2008

Ubicación: España

Mensajes: 8

Re: Tengo Programas Malignos en el PC

Hola Maco1128 , muchas gracias por tu orientación.

Este es el reporte de Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.25
Versión de la Base de Datos: 1065
Windows 5.1.2600 Service Pack 2

14:11:21 Leonardo 18/08/2008
mbam-log-08-18-2008 (14-11-21).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 117917
Tiempo transcurrido: 1 hour(s), 3 minute(s), 55 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mule_st_key (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\Nuclear Coffee\VideoGet\uninstall.exe (BHO.Baidu) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

Report de Fs-FixBagle.
BagleReport Creado: 14:19:48,26, 18/08/2008
Sistema Operativo: Microsoft Windows XP [Versi¢n 5.1.2600]

»»»»»»»»»»»» Objetos Eliminados »»»»»»»»»»»»

C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\exefld

»»»»»»»»»»»» Catchme Detector »»»»»»»»»»»»

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 14:19:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

»»»»»»»»»»»» FIN »»»»»»»»»»»»

El paso del antivirus online, lo aborte, pues tras 12 horas mas o menos iba por el 29% algo que no me parecio nomal, también Malwarebyte´s me estaba alertando de estos Trojan.Agent:

C:\windows\system32\drivers\downld\1364532.exe
C:\windows\system32\drivers\downld\1506466.exe
C:\windows\system32\drivers\downld\16159165.exe
C:\windows\system32\drivers\downld\16193545.exe
C:\windows\system32\drivers\downld\16247262.exe
C:\windows\system32\drivers\downld\31660425.exe
C:\windows\system32\drivers\downld\32684417.exe
C:\windows\system32\drivers\downld\32689064.exe
C:\windows\system32\drivers\downld\47276640.exe
C:\windows\system32\drivers\downld\47281677.exe
C:\windows\system32\drivers\downld\47363404.exe
C:\windows\system32\drivers\downld\61994994.exe
C:\windows\system32\drivers\downld\62075389.exe
C:\windows\system32\drivers\downld\62109428.exe

Al cancelar me salio este reporte:

Amenazas con desinfección gratuita (3)

Peligrosidad alta (1)

W32/Bagle.KV.worm Virus Activo Ver + Info

1. C:\WINDOWS\system32\drivers\hldrrr.exe
2. C:\WINDOWS\SYSTEM32\DRIVERS\MDELK.EXE

Peligrosidad baja (2)

W32/Bagle.RP.worm Virus Latente Ver + Info

1. C:\WINDOWS\system32\drivers\srosa.sys

W32/Bagle.RP.worm Virus Latente Ver + Info

1. C:\WINDOWS\SYSTEM32\DRIVERS\DOWNLD\16193545.EXE
2. C:\WINDOWS\SYSTEM32\DRIVERS\DOWNLD\1506466.EXE
3. C:\WINDOWS\SYSTEM32\DRIVERS\DOWNLD\16247262.EXE

Amenazas con desinfección de pago (0)
Sólo disponible en versión de pago.

Archivos sospechosos (0)

Vulnerabilidades (20)

MS07-061 Alta + Info
MS08-002 Media + Info
MS07-035 Alta + Info
MS08-001 Media + Info
MS07-033 Alta + Info
MS07-069 Alta + Info
MS07-022 Alta + Info
MS07-031 Alta + Info
MS07-021 Alta + Info
MS07-067 Alta + Info
MS07-050 Alta + Info
MS07-020 Alta + Info
MS07-019 Alta + Info
MS07-058 Alta + Info
MS07-064 Alta + Info
MS07-057 Alta + Info
MS07-027 Alta + Info
MS07-046 Alta + Info
MS07-045 Alta + Info
MS07-043 Alta + Info

Ya puedo entrar en MODO SEGURO, se ha activado la opción de ADMINISTRADOR DE TAREAS igualmente se ha activado en el menu contextual, las alertas que me deba Malwarebytes de WINTEMS.EXE no me ha salido, pero los demas problemas permanecen.

Elementos que se encuentran en la Cuarentena de Malwarebyte´s Anti-Malware:

14/08/2008

HKEY_CLASSES_ROOT\CLSID\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.Agent)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.Agent)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\webproxy (Trojan.Agent)

HKEY_CLASSES_ROOT\CLSID\{ffffffff-bbbb-4146-86fd-a722e8ab3489} (Trojan.BHO)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ffffffff-bbbb-4146-86fd-a722e8ab3489} (Trojan.BHO)

C:\WINDOWS\system32\sockins32.dll (Trojan.BHO)

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer)

C:\WINDOWS\system32\sft.res (Malware.Trace)

C:\WINDOWS\index.html (Trojan.FakeAlert)

17/08/2008

C:\WINDOWS\system32\drivers\downld (Trojan.Agent)

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer)

18/08/2008

C:\Archivos de programa\Nuclear Coffee\VideoGet\uninstall.exe (BHO.Baidu)

C:\WINDOWS\system32\drivers\downld (Trojan.Agent)

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe (Trojan.Spammer)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mule_st_key (Trojan.Agent)

C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent)

C:\WINDOWS\system32\drivers\srosa.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (Rootkit.Bagle)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa (Rootkit.Bagle)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa (Rootkit.Bagle)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa (Rootkit.Bagle)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa (Rootkit.Bagle)