Hola a todos! Tengo el siguiente problema: los antivirus han detectado 2 virus en c:/windows/system32/drivers, más precisamente en los archivos smtpdrv.sys y Hmp61.sys. He intentado con el FileASSASSIN, con el AVG (detecta sólo el primero, seleccioné las opciones "heal" y "move to vault", luego indica que la operación se ha realizado en forma exitosa, pero reinicio la máquina y los virus siguen allí), con Kaspersky (detecta a Hmp61.sys y me indica: "El objeto es deseleccionado ya que el archivo está dentro de un archivo compuesto y no se pueden realizar acciones sobre él"), con SpyBot, con Ewido (que no detectó ningún virus).
Cómo puedo hacer para eliminarlos??? Seguirán allí los virus, o serán "falsos positivos? Muchas gracias!

Hola y bienvenido al foro de Infospyware (http://www.infospyware.com/index.htm).

Recuerda que siempre que tengas alguna duda sobre un archivo sospechoso puedes subir este a VirusTotal (http://www.virustotal.com/es/) y analizarlo con multiples motores Antivirus.

por otra parte te aconsejo que te asesores antes de tratar de eliminar cualquier archivo que se encuentre en una carpeta del sistema ya que podrias dañar el Sistema operativo, esperamos lo sresultados de esos reportes. :feca:

Hola Guillermo, muchas gracias por responderme. He subido a VIRUSTOTAL el archivo Hmp61.sys, y dice "0 bytes size received / Se ha recibido un archivo vacio".
Por otra parte, busqué el archivo smtpdrv.sys, pero ya no está, aunque el AVG hasta el último análisis realizado, sigue detectándolo como archivo infectado.
Qué puedo hacer? Gracias!

Hola para descartar un falso positivo del AVG realiza lo siguiente:

Activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).

Realiza un escaneo completo del PC con Kaspersky online (http://www.forospyware.com/t55793.html) y Panda active Scan (http://www.forospyware.com/t75446.html) y pega sus reportes para revisarlos. :feca:

Hola, los resultados de los análisis son los siguientes:

(Durante el análisis en Kaspersky, el AVG detectaba virus en lugares que Kapersky no hallaba infectados; durante el análisis en activescan, el AVG detectaba en forma simultánea a aquél los virus)


KASPERSKY ONLINE SCANNER INFORME
viernes, 04 de enero de 2008 19:28:51
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 4/01/2008
Registros en la base antivirus: 469466
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
Estadísticas
Número de objeros analizados 49236
Virus encontrados 0
Objetos infectados 0 / 0
Objetos sospechosos 0
Duración del análisis 01:58:26

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___02 introducción liliana felipe matar o no matar alternativa.wma Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___05 - mulemba xangola - bonga kuenda.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___09 - olhos molhados - bonga kuenda.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___bonga - angola 72 - 03 - ku tando.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___bonga - angola 72 - 10 - muimbo ua sabalu.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___bonga kwenda & don kikas - kizomba.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___guns and roses - paradise city.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___liliana felipe - pequeño dictador.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___llaneras venezuela - la viuda millonaria(1).mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___se me hizo facil.mp3 Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\Working\database_A30_99D4_3099_C75B \dfsr.db Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\Working\database_A30_99D4_3099_C75B \fsr.log Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\Working\database_A30_99D4_3099_C75B \fsrtmp.log Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\gise_s_@hotmail.com\S haringMetadata\Working\database_A30_99D4_3099_C75B \tmp.edb Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\gise_s_@hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\gise_s_@hotmail.com\shadow\members.stg Object is locked saltado
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\MSHist0120080104200801 05\index.dat Object is locked saltado
C:\Documents and Settings\user\Configuración local\Temp\~DF16D1.tmp Object is locked saltado
C:\Documents and Settings\user\Configuración local\Temp\~DF1790.tmp Object is locked saltado
C:\Documents and Settings\user\Configuración local\Temp\~DFB66D.tmp Object is locked saltado
C:\Documents and Settings\user\Configuración local\Temp\~DFB71E.tmp Object is locked saltado
C:\Documents and Settings\user\Configuración local\Temp\~DFF07F.tmp Object is locked saltado
C:\Documents and Settings\user\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\user\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado
C:\Documents and Settings\user\ntuser.dat Object is locked saltado
C:\Documents and Settings\user\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP215\A0159829.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP215\A0159898.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP216\A0159972.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP222\A0160193.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP224\A0160275.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP225\A0160341.sys Object is locked saltado
C:\System Volume Information\_restore{E01BA8E6-FD62-4E2B-97AD-06E13F648064}\RP225\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\pfirewall.log Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\Hmp61.sys Object is locked saltado
C:\WINDOWS\system32\drivers\smtpdrv.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\125765.exe Object is locked saltado
C:\WINDOWS\Temp\127656.exe Object is locked saltado
C:\WINDOWS\Temp\127687.exe Object is locked saltado
C:\WINDOWS\Temp\127796.exe Object is locked saltado
C:\WINDOWS\Temp\128343.exe Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.

y en ACTIVESCAN:

Incidencia Estado Elemento

Spyware:Cookie/Adserver No desinfectado C:\Documents and Settings\user\Cookies\user@adserver.filefront[2].txt
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\user\Cookies\user@ciudad.com[2].txt
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\user\Cookies\user@de.uol.com[1].txt
Spyware:Cookie/Go No desinfectado C:\Documents and Settings\user\Cookies\user@go[2].txt
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\user\Cookies\user@terra.com[1].txt
Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\user\Datos de programa\Mozilla\Firefox\Profiles\nr93uxqz.default \cookies.txt[.www.ademails.com/]
Virus:Trj/Spammer.ADX Desinfectado C:\WINDOWS\system32\drivers\smtpdrv.sys
Virus:Trj/Spammer.ADX Desinfectado C:\WINDOWS\Temp\125765.exe
Virus:Trj/Spammer.ADX Desinfectado C:\WINDOWS\Temp\127687.exe
Virus:Trj/Spammer.ADX Desinfectado C:\WINDOWS\Temp\127796.exe
Virus:Trj/Spammer.ADX Desinfectado C:\WINDOWS\Temp\128718.exe


Cuáles son ahora los pasos a seguir? Gracias!

Usa el CCleaner (http://www.forospyware.com/t105564.html)para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

A continuación realiza un nuevo escaneo con Panda y pegas su reporte para revisarlo.

NOTA: Si te fijas en ese reporte del Panda te elimino varios Malwares entre ellos el que mencionabas: C:\WINDOWS\system32\drivers\smtpdrv.sys :feca:

Hola, me han surgido dos dudas:

1. En la opción "limpiador", debería seleccionar todos los ítems, incluso "Archivos de registro de Windows"?

2. Cómo hago la copia de seguridad antes de ejecutar la opción "Registro"?

Gracias!

Hola, me han surgido dos dudas:

1. En la opción "limpiador", debería seleccionar todos los ítems, incluso "Archivos de registro de Windows"?

Respuesta:SI

2. Cómo hago la copia de seguridad antes de ejecutar la opción "Registro"?

Respuesta:Antes de eliminar las entradas el programa te preguntara si estas seguro de eliminarlas y si quieres hacer una copia de seguridad (backup) le dices que si y kisto, le das reparar todas las entradas.

Gracias!

Cualquie duda que tengas solo pregunta. :feca:
Lee detenidamente el manual de CCleaner alli esta explicado eso. :Bien:

Hola, el análisis de Panda no ha detectado infecciones esta vez (no ha generado informe). Sin embargo, un análisis con NOD 32 de la ubicación C:/windows/system32/drivers, arroja los siguientes resultados:
C:\WINDOWS\system32\drivers\Hmp61.sys - error opening
C:\WINDOWS\system32\drivers\smtpdrv.sys - error opening

(El análisis en Nod32, a diferencia del realizado en Panda, fue hecho en el día de hoy luego de iniciar nuevamente la máquina. En tal sentido, AVG nunca detecta _por más que allí persistan_ en un segundo análisis las infecciones que detectó en un primer análisis, si antes del segundo no inicio nuevamente el equipo)

Gracias!

Hola antes que nada decirte que si cuando hablas del AVG te refieres al Antivirus debes desinstalarlo y dejar solo el NOD o entraran en conflicto aparte que te consumiran recursos necesarios para realizar otras tareas y te ralentizaran el PC.

Por otro lado antes de indicarte el siguiente paso a seguir me gustaria que subieras de nuevo los 2 archivos a Virus Total y pegues los resultados de los escaneos. :feca:

Hola, acabo de enterarme que ambos antivirus no son compatibles, así que desinstalaré el AVG o el NOD32, según me recomiendes.
Por otro lado, descargué el DoctorWeb CureIt, pensando en que podría ayudarme. Hice el análisis correspondiente (del cual olvidé guardar el informe), detectó 29 infecciones y las eliminó.
Luego, realicé un análisis con el Nod32 y no detectó infecciones, y también lo hice con el AVG, que tampoco detectó infecciones, sino sólo ésto (que lo encuentra en cada análisis):

C:/windows/system32/shell32.dll Result: change Status: changed
C:/windows/system32/drivers/etc/hosts Result: change Status: changed

Gracias

Te recomiendo que te quedes con el Nod32, lo que pasa con el AVG es que cuando realiza el primer escaneo guarda en su memoria la version de los archivos del sistema y cuando vuelve a hacer otro escaneo si encuentra que no corresponden los ponen como changed, esto se puede deber a que algunos archivos del sistema se actualizan con Windows a una version mas nueva o en el peor de los casos a una modificacion debida a un Malware cosa que apareceria en los reportes por lo que no creo que sea tu caso.

lo del archivo Host es parecido ciertos programas como Spybot y Spywareblsater al inmunizar el PC agregan lineas a ese archivo para que no puedas entrar en ciertas paginas malignas pero algunos malwares hacen lo contrario añaden lineas para que cuando este navegando entres a esas paginas.

Ya me diras si damos como solucionado el tema o crees que todavia estas infectado? :feca:

Hola, el problema con el NOD 32 es que me otorga una licencia por 30 días, luego podría renovarla? tendría que reinstalar el servicio? Por otro lado, no corro riesgos entonces en cuanto a los dos archivos que detecta siempre el AVG? No creo que siga infectada mi PC, pero no sé si alguna infección habrá dañado algún archivo. Gracias!

Hola si la version del Nod que descargaste es de prueba te durara 3o dias despues de eso deberas comprar la licensia en ese caso te puedes quedar con el AVG que es gratis.

Y para despejar las dudas sobre esos 2 archivos subelos a esta pagina: VirusTotal - Servicio online antivirus gratuito (http://www.virustotal.com/es/) y pegas el resultado de los escaneos para revisarlos. :feca: