Hola, el problema que tengo es que ayer me llegó un e-mail de un amigo con este contenido:

Olá sarerac@gmail.com ,

Seu Amigo (a) Sarerac - ( sarerac@mundo-r.com )
Enviou uma WebCharges do UOLCharges no dia 05/09/2007!.

Para a visualização da Animação Utilize:


[:: Visualizar UOL Charge de sarerac@gmail.com - 1X4nyCRAscyDVZO::]


Caso o link não responda, Tente:




[:: Visualizar UOL Charge de sarerac@gmail.com - 1X4nyCRAscyDVZO_9::]

y a pesar de mis sospechas cometí el error de abrir el link que me pedía y desde ese momento este correo se reenvio solo a todas mis direcciones de contactos del outlook express ....lo que sospecho que algún tipo de virus o gusano se me a colado en el equipo..
Alguien me puede ayudar.
Un saludo a tod@s

Hola:

pasa un scaneo online con ewido (http://www.ewido.net/en/onlinescan/). tan pronto termine de escanear activa la casilla " Remove Infections ".si tienes alguna duda aca el manual (http://http://www.forospyware.com/t42048.html) de ewido

Inmediatamente despues de esto escanea con panda online (http://www.infospyware.com/Anti-Virus/Panda/) y peganos el reporte aca.

exitos: :Bien:

Hola sarerac

Ese Hoax (http://www.forospyware.com/glossary.php?do=viewglossary&term=28) se llama “Muito Boa EssA Precisa VER”

Por lo visto crea estos archivos que debes borrar:

C:\Windows\Media\w7zip.exe

Es una variante del troyano Troj/Bancban-PX que roba información online da bancos. Se recomienda contactar con el banco y cambiar todas las contraseñas online con las que accedes a tu cuenta a través de internet.


Realiza estos pasos sin saltarte ninguno:

:1: Descarga y/o actualiza las siguientes herramientas:• SpyBot S&D (http://www.spybotupdates.com/files/spybotsd15.exe) [Manual (http://www.infospyware.com/Manual%20de%20SpyBot.htm)]
• CCleaner (http://download.ccleaner.com/ccsetup141.exe) [Manual (http://www.forospyware.com/t105564.html)]


:2: A continuación:Apaga Restaurar Sistema (http://www.forospyware.com/292280-post2.html) (Sólo para Windows Me y XP).
Activar Ver archivos ocultos (http://www.forospyware.com/292282-post3.html).
Iniciar en Modo Seguro (http://www.forospyware.com/292284-post4.html) (Modo a prueba de fallos).


:3: Busca y elimina el siguiente archivo:

C:\Windows\Media\w7zip.exe

NOTA: Si no puedes eliminarlo, utiliza KillBox (http://www.forospyware.com/292289-post6.html) o FileASSASSIN (http://www.forospyware.com/298547-post10.html)


:4: Ejecuta SpyBot S&D y elimina todo lo que te detecte.

:5: Elimina todos los archivos de la Cuarentena de tu antivirus.

:6: Ejecuta CCleaner de esta manera:
• Opción Limpiador: para borrar todos los temporales y cookies.
• Opción Registro: para limpiar el registro de Windows. No olvides hacer una copia de seguridad del registro antes de borrar entradas. Ejecútalo hasta que no encuentre ninguna.


:7: Reinicia en Modo Normal, Activa Restaurar Sistema y desactiva Ver archivos ocultos.

:8: Haz un escaneo con Panda ActiveScan Online (http://www.infospyware.com/Anti-Virus/Panda/) [Manual (http://www.forospyware.com/t75446.html)] y péganos el reporte que te genere :Bien:


Nos comentas :feca:

Saludos http://www.subir-imagenes.com/subir_fotos_e_imagenes/8db9cf6284.gif (http://www.subir-imagenes.com)

Hola antes de nada gracias, el problema que tengo es que el archivo
w7zip.exe que tu dices no aparece en mi disco duro, el problema continua...
Un saludo a todos

realiza los pasos que Nam te indico y has el scan online en panda para que nos coloques el reporte que este te genere :Bien:

Hola de nuevo, este es el informe de Panda :



Incidencia Estado Elemento

Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\silvino díaz\Cookies\silvino_díaz@advertising[1].txt
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\silvino díaz\Cookies\silvino_díaz@doubleclick[1].txt
Herramienta potencialmente no deseada:Application/CloseApp No desinfectado C:\WINDOWS\system32\closeapp.exe

Saludos

Hola!

:1: BSube este achivo a VirusTotal (http://www.virustotal.com/es/) y nos pegas el informe:
C:\WINDOWS\system32\closeapp.exe

¿Tienes Vista Transformation Pack?

:2: Borra las cookies con al opción Limpiador de CCleaner.

:3: Haz un escaneo con TotalScan (http://www.nanoscan.com/as/v1/?lang=es) y nos dejas el reporte. Lee su manual (http://www.forospyware.com/t106269.html) para saber cómo generarlo correctamente.

Hola, os pego lo que me habeis pedido:

1- viruscan

Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | |
Magyar | Deutsch | Česky | Polski | English
Virustotal es un servicio de análisis de
archivos sospechosos que permite detectar
virus, gusanos, troyanos, y malware en general.
Más información...
Análisis del archivo closeapp.exe recibido el 08.09.2007 02:26:34 (CET)
Estado actual: análisis terminado
Resultado: 8/32 (25%)
Imprimir resultados
Motor antivirus Versión Última
actualización Resultado
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.07 APPL/CloseApp
Authentium 4.93.8 2007.09.07 -
Avast 4.7.1043.0 2007.09.07 -
AVG 7.5.0.485 2007.09.07 Potentially harmful program
HackTool.BVK
BitDefender 7.2 2007.09.08 -
CAT-QuickHeal 9.00 2007.09.07 -
ClamAV 0.91.2 2007.09.08 -
DrWeb 4.33 2007.09.07 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5119 2007.09.08 -
Ewido 4.0 2007.09.07 -
FileAdvisor 1 2007.09.08 High threat detected
Fortinet 3.11.0.0 2007.09.07 HackerTool/CloseApp
F-Prot 4.3.2.48 2007.09.07 -
F-Secure 6.70.13030.0 2007.09.07 -
Ikarus T3.1.1.12 2007.09.08 not-avirus:
RiskTool.Win32.CloseApp.a
Kaspersky 4.0.2.24 2007.09.08 not-avirus:
RiskTool.Win32.CloseApp.a
McAfee 5115 2007.09.07 -
Microsoft 1.2803 2007.09.08 -
NOD32v2 2514 2007.09.08 -
Compactar
VirusTotal - Servicio online antivirus gratuito - Resultado Page 1 of 2
http://www.virustotal.com/es/resultado.html?04fec0d974c5962ff26f076be47c76d9 08/09/2007
IMPORTANTE: VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, quien
no garantiza la disponibilidad y continuidad de funcionamiento de éste. Pese a que el índice
de detección ofrecido por el análisis simultáneo de múltiples motores antivirus es muy
superior al de un sólo producto, los resultados NO garantizan la inocuidad de un archivo.
No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y
malware en general.
Norman 5.80.02 2007.09.07 -
Panda 9.0.0.4 2007.09.07 Application/CloseApp
Prevx1 V2 2007.09.08 -
Rising 19.39.42.00 2007.09.07 -
Sophos 4.21.0 2007.09.08 -
Sunbelt 2.2.907.0 2007.09.07 -
Symantec 10 2007.09.08 -
TheHacker 6.1.9.181 2007.09.07 -
VBA32 3.12.2.4 2007.09.07 -
VirusBuster 4.3.26:9 2007.09.07 -
Webwasher-
Gateway 6.0.1 2007.09.07 Riskware.CloseApp
Información adicional
Tama?rchivo: 81920 bytes
MD5: 4cd6d12165acccfefdbdca980ada7092
SHA1: 887b329e15ab70f7185c954652afdcd978d9088f
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?
md5=4cd6d12165acccfefdbdca980ada7092
VirusTotal © Hispasec Sistemas - Blog - Contacto: info@virustotal.com
VirusTotal - Servicio online antivirus gratuito - Resultado Page 2 of 2
http://www.virustotal.com/es/resultado.html?04fec0d974c5962ff26f076be47c76d9 08/09/2007
Totalscan 1

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2007-09-08 11:46:50
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Eset NOD32 antivirus system 2.51 2.51 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00343731 Application/CloseApp HackTools No 0 Yes No C:\WINDOWS\system32\closeapp.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Location
;================================================= ================================================== ================================================== ==============================
C:\WINDOWS\MEDIA\LTASKUP.EXE
;================================================= ================================================== ================================================== ==============================

totalscan 2;************************************************ ************************************************** ************************************************** *******************************
ANALYSIS: 2007-09-08 14:22:59
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 1
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Eset NOD32 antivirus system 2.51 2.51 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\silvino dÃ*az\Cookies\silvino_dÃ*az@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\silvino dÃ*az\Cookies\silvino_dÃ*az@atdmt[1].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\silvino dÃ*az\Cookies\silvino_dÃ*az@com[1].txt
00168077 Cookie/Versiontracker TrackingCookie No 0 Yes No C:\Documents and Settings\silvino dÃ*az\Cookies\silvino_dÃ*az@versiontracker[1].txt
00343731 Application/CloseApp HackTools No 0 Yes No C:\WINDOWS\system32\closeapp.exe
01063098 Adware/Comet Adware No 0 Yes No C:\System Volume Information\_restore{46C4F50D-0ECB-4B33-AFA1-AE1A6069AFA1}\RP25\A0061625.dll
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Location

Tb he eliminado las cookies con ccleaner como me pedísteis y tengo Windowsblinds 5.5 aunque creo que alguna vez instalé el windows transformation....
Bueno espero haberlo hecho bien un saludo:afirmar::afirmar:

::Help::::Help::

:1: Apaga Restaurar Sistema (http://www.forospyware.com/292280-post2.html)

:2: Limpia temporales y cookies con CCleaner (opción Limpiador).

:3: Activa Restaurar Sistema.

:4: Sube este archivo sospechoso a Virus Total (http://www.virustotal.com/es/):
C:\WINDOWS\MEDIA\LTASKUP.EXE




Algunos antivirus detectan a CloseApp como peligroso, pues estos programas como son Windows Blinds o Vista Transformation Pack cambian algunos archivos del sistema. Pero si lo has instalado tú no hay de qué preocuparse :Bien:

Hola, antes de nada darte las gracias por la ayuda, te posteo el resultado:


Virustotal es un servicio de análisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general. Más información...
Análisis del archivo LTaskup.exe recibido el 09.09.2007 20:59:56 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 15/32 (46.88%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.08 TR/Spy.Banker.Gen
Authentium 4.93.8 2007.09.09 Possibly a new variant of W32/Threat-SysVenFakP-based!Maximus
Avast 4.7.1043.0 2007.09.08 -
AVG 7.5.0.485 2007.09.09 SHeur.LGR
BitDefender 7.2 2007.09.09 DeepScan:Generic.Malware.FMPTkoe.75507063
CAT-QuickHeal 9.00 2007.09.08 -
ClamAV 0.91.2 2007.09.09 -
DrWeb 4.33 2007.09.08 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5119 2007.09.08 -
Ewido 4.0 2007.09.09 -
FileAdvisor 1 2007.09.09 -
Fortinet 3.11.0.0 2007.09.08 Banker.I!tr.pws
F-Prot 4.3.2.48 2007.09.09 W32/Threat-SysVenFakP-based!Maximus
F-Secure 6.70.13030.0 2007.09.09 -
Ikarus T3.1.1.12 2007.09.09 Generic.Banker.Delf
Kaspersky 4.0.2.24 2007.09.09 -
McAfee 5115 2007.09.07 PWS-Banker.gen.i
Microsoft 1.2803 2007.09.09 Trojan:Win32/Agent.ACC
NOD32v2 2516 2007.09.09 -
Norman 5.80.02 2007.09.07 -
Panda 9.0.0.4 2007.09.09 Suspicious file
Prevx1 V2 2007.09.09 Heuristic: Suspicious Self Modifying EXE
Rising 19.39.62.00 2007.09.09 -
Sophos 4.21.0 2007.09.09 Mal/Basine-C
Sunbelt 2.2.907.0 2007.09.07 VIPRE.Suspicious
Symantec 10 2007.09.09 -
TheHacker 6.1.10.182 2007.09.08 -
VBA32 3.12.2.4 2007.09.08 suspected of Malware.Delf.103 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.09.09 -
Webwasher-Gateway 6.0.1 2007.09.08 Trojan.Spy.Banker.Gen
Información adicional
Tama?rchivo: 757760 bytes
MD5: 26e838182cc2434902420532a510d5dc
SHA1: 5796da1e00eea3506ace10897324cf91a2cda93f
packers: PECOMPACT
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=F43457DE0092A8D190970B563FEA8A004 82C4DB5
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Hola te posteo el resultado:

Análisis del archivo LTaskup.exe recibido el 09.09.2007 22:59:00 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 15/32 (46.88%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.08 TR/Spy.Banker.Gen
Authentium 4.93.8 2007.09.09 Possibly a new variant of W32/Threat-SysVenFakP-based!Maximus
Avast 4.7.1043.0 2007.09.08 -
AVG 7.5.0.485 2007.09.09 SHeur.LGR
BitDefender 7.2 2007.09.09 DeepScan:Generic.Malware.FMPTkoe.75507063
CAT-QuickHeal 9.00 2007.09.08 -
ClamAV 0.91.2 2007.09.09 -
DrWeb 4.33 2007.09.09 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5119 2007.09.08 -
Ewido 4.0 2007.09.09 -
FileAdvisor 1 2007.09.09 -
Fortinet 3.11.0.0 2007.09.08 Banker.I!tr.pws
F-Prot 4.3.2.48 2007.09.09 W32/Threat-SysVenFakP-based!Maximus
F-Secure 6.70.13030.0 2007.09.09 -
Ikarus T3.1.1.12 2007.09.09 Generic.Banker.Delf
Kaspersky 4.0.2.24 2007.09.09 -
McAfee 5115 2007.09.07 PWS-Banker.gen.i
Microsoft 1.2803 2007.09.09 Trojan:Win32/Agent.ACC
NOD32v2 2516 2007.09.09 -
Norman 5.80.02 2007.09.07 -
Panda 9.0.0.4 2007.09.09 Suspicious file
Prevx1 V2 2007.09.09 Heuristic: Suspicious Self Modifying EXE
Rising 19.39.62.00 2007.09.09 -
Sophos 4.21.0 2007.09.09 Mal/Basine-C
Sunbelt 2.2.907.0 2007.09.07 VIPRE.Suspicious
Symantec 10 2007.09.09 -
TheHacker 6.1.10.182 2007.09.08 -
VBA32 3.12.2.4 2007.09.09 suspected of Malware.Delf.103 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.09.09 -
Webwasher-Gateway 6.0.1 2007.09.08 Trojan.Spy.Banker.Gen
Información adicional
Tama?rchivo: 757760 bytes
MD5: 26e838182cc2434902420532a510d5dc
SHA1: 5796da1e00eea3506ace10897324cf91a2cda93f
packers: PECOMPACT
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=F43457DE0092A8D190970B563FEA8A004 82C4DB5
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics

Un sañudo

Elimina el archivo con FileASSASSIN (http://www.forospyware.com/298547-post10.html): C:\WINDOWS\Media\LTaskup.exe pues es un malware ::mal:

Ejecuta CCleaner:
Primero, la opción Limpiador, y luego, la opción Registro, para llimpiar el registro de Windows. Ejecuta esta última opción hasta que no salga ninguna entrada y no olvides hacer una copia de seguridad antes de eliminar.

Descarga y ejecuta HijackThis (http://www.forospyware.com/t68195.html#post292279). En el log generado (no lo pegues aquí), busca si tienes esta entrada: O4 - HKLM\..\Run: [wTask] C:\WINDOWS\Media\LTaskup.exe
Si la tienes, selecciónala (sólo esa y si es que la tienes) y dale a Fix checked


Realiza un nuevo escaneo con TotalScan y nos dejas el reporte :Bien:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2007-09-10 11:57:08
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Eset NOD32 antivirus system 2.51 2.51 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00343731 Application/CloseApp HackTools No 0 Yes No C:\WINDOWS\system32\closeapp.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

¿Tenías la entrada en HijackThis?

El reporte de TotalScan está limpio (muestra el closeapp.exe pero ya te expliqué que era de Windows Blinds :Bien:)

Coméntanos si tu pc está bien para dar por solucionado el tema http://img254.imageshack.us/img254/2193/77955822ft2.gif (http://imageshack.us)

En principio todo parece correcto excepto que tarda mucho en inciciar windows ..

Muchas gracias

¿Desde que recibiste ese correo o desde antes?

Si es desde antes, ve a Inicio ⇒ Ejecutar ⇒ escribe msconfig ⇒ pestaña Inicio ⇒ destilda los programas que no desees que se carguen al iniciar Windows


No me respondiste si tenías la entrada de HijackThis que te dije :rolleyes:

hola perdona se me pasó...no tenía esa entrada ..un saludo

No pasa nada :Bien:

Haz lo que te dije del msconfig y nos comentas como está todo :biggrin: y si la lentitud la notas desde que abriste ese correo