PDA

Ver la Versión Completa : Ayuda

morera
15/01/08, 08:36:40
saludos compañeros

tengo un problema, hay un trojan.win32:BHO.abo que me esta molestando, en realidad no se si es dañino.
he seguido las ayudas de este foro pero no logro eliminarlo.
ya pase los antivirus en linea, el limpiador, los programas para eliminar archivos.
supestamente esta en windows system32 appmg.dll

que me sugieren

gracias a todos

******
;Avast! Antivirus - Edición U3
;Versión de VPS: January 14, 2008 - [80114-3]
;Params: C:\WINDOWS\system32 Escaneo: Full files, All files, Ignore targeting, Archivo: ARJ, MIME, EXE, ZIP, Stream, RAR, CAB, TAR, GZ, BZIP2, ACE, ARC, ZOO, WinEXEC, LHARC, CHM, CPIO, RPM, 7ZIP, ISO, TNEF, DBX, SIS, OLE, Installer,
;Columnas: Nombre de archivo <tab> Estatus [OK,INFECTADO,ERROR]
;******
C:\WINDOWS\system32\appmg.dll\[UPX] INFECTADO: Win32:BHO-KD [Trj]
;--------------------------
;Archivos: 7235
;Carpetas: 217
;Tamaño de los archivos: 1196812189
;Archivos infectados: 1
;--------------------------
;******
;Fin del escaneo
;Escaneo completado con código de retorno: 0
;******


;******
;Comandos
;Columnas: Nombre de archivo <tab> Comando <tab> Código de retorno <tab> Parámetro personalizado 1 <tab> Parámetro personalizado 2
;******
C:\WINDOWS\system32\appmg.dll\[UPX] DELETE Acceso denegado. Nr(5) 1 0
C:\WINDOWS\system32\appmg.dll\[UPX] RENAME Acceso denegado. Nr(5) C:\Documents and Settings\Diseño\Datos de programa\U3\01E0F3700321CA0B\1F30627F-0195-44d4-8C24-1999F3C02C50\Exec\appmg1.dll
C:\WINDOWS\system32\appmg.dll\[UPX] MOVE Acceso denegado. Nr(5) C:\Documents and Settings\Diseño\Mis documentos\[UPX]
C:\WINDOWS\system32\appmg.dll\[UPX] DELETE Acceso denegado. Nr(5) 1 0
C:\WINDOWS\system32\appmg.dll\[UPX] RENAME Acceso denegado. Nr(5) C:\WINDOWS\system32\appmg.dll

;******
;Fin de los comandos
;******

;******
;Comandos
;Columnas: Nombre de archivo <tab> Comando <tab> Código de retorno <tab> Parámetro personalizado 1 <tab> Parámetro personalizado 2
;******

;******
;Fin de los comandos
;******

;******
;Comandos
;Columnas: Nombre de archivo <tab> Comando <tab> Código de retorno <tab> Parámetro personalizado 1 <tab> Parámetro personalizado 2
;******

;******
;Fin de los comandos
;******
juan01_12
15/01/08, 09:27:10
Hola te doy la bienvenida a Foro de InfoSpyware (http://www.InfoSpyware.com).
Politicas del foro (http://www.forospyware.com/t3.html). Consejos a la hora de publicar nuevos mensajes (http://www.forospyware.com/t2.html).

Puedes que tengas mas infecciones.

Realiza estos pasos:

:1:
Descarga y ejecuta CCleaner (http://download.ccleaner.com/ccsetup139.exe). Usar primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

:2: Pasa este antivirus on line:

kaspersky (http://www.kaspersky.com/sp/virusscanner) -Manual- (http://www.forospyware.com/t55793.html) (Coloca su log)
Si usas Firefox (http://www.forospyware.com/Firefox/Firefox.htm) necesitaras de la extension IETab (http://www.forospyware.com/t84166.html)

Recuerda volver y comentarnos si mejora o no tu PC, Saludos!
morera
15/01/08, 15:28:38
salduos
el problema continua

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, January 15, 2008 2:15:42 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 15/01/2008
Kaspersky Anti-Virus database records: 512458
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\

Scan Statistics:
Total number of scanned objects: 16312
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:10:23

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\appmg.dll Infected: Trojan.Win32.BHO.abo skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_160.dat Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_224.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\AHI4.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\Escritorio Secreter Frances HR_1_1_6334.dwl Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\Escritorio Secreter Frances HR_1_1_6500.dwl Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\JET5.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\Perflib_Perfdata _c78.dat Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\REDO.ac$ Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\UNDB595A.ac$ Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\~DF3932.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\~DF5866.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\~DFACE.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\~DFDE45.tmp Object is locked skipped
C:\DOCUME~1\DISEO~1\CONFIG~1\Temp\~WRD0000.doc Object is locked skipped

Scan process completed.
juan01_12
15/01/08, 16:42:38
Hola elimina este archivo:

C:\WINDOWS\system32\appmg.dll

SI no se dejan utiliza: KillBox (http://download.bleepingcomputer.com/spyware/KillBox.exe) o Filesassin (http://www.forospyware.com/298547-post10.html).

Realiza un nuevo scaneo, pero esta ves a toda MI PC y dejanos el reporte.

Saludos!
morera
17/01/08, 17:11:22
COMO QUE NO SE QUIERE ELIMINAR
YA ME ESTOY PREOCUPANDO



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 16 de enero de 2008 16:05:30
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.98.0
Ultima actualización: 16/01/2008
Registros en la base antivirus: 513084
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
F:\
G:\
H:\

Estadísticas:
Número de objeros analizados: 235840
Virus encontrados: 3
Objetos infectados: 6
Objetos sospechosos: 0
Duración del análisis: 02:50:34

Bombre del objeto infectado / Nombre del virus / Última acción
A:\Control de Producción1.mdb Object is locked saltado
A:\Control de Producción1.ldb Object is locked saltado
C:\Archivos de programa\Microsoft Office\OFFICE11\Macros\EUROTOOL.XLA Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\master.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\mastlog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\model.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\modellog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\tempdb.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Data\templog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$AUTODESKVAULT\LOG\ERRORLOG Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\master.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\mastlog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\model.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\modellog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\tempdb.mdf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Data\templog.ldf Object is locked saltado
C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\LOG\ERRORLOG Object is locked saltado
C:\Archivos de programa\UPS Monitor\Upsdata.ldb Object is locked saltado
C:\Archivos de programa\UPS Monitor\Upsdata.mdb Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0070_File_Monitoring_eventcritlog. rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0070_File_Monitoring_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0071_Mail_Monitoring_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0072_Web_Monitoring_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0073_pdm_eventcritlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\0073_pdm_eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\detected.idx Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\report.rpt Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_360.wmdb Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Datos de programa\Microsoft\Windows Media\11.0\WMSDKNSD.XML Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Historial\History.IE5\MSHist0120080116200801 17\index.dat Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Temp\AHIE.tmp Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Temp\JET2.tmp Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Temp\Perflib_Perfdata_e50.dat Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Temp\~DF7F4C.tmp Object is locked saltado
C:\Documents and Settings\Diseño\Configuración local\Temp\~DF995D.tmp Object is locked saltado
C:\Documents and Settings\Diseño\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Diseño\Datos de programa\Autodesk\WebServices\ws_CommCntr_20080116 _0.log Object is locked saltado
C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix\Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix.zip ZIP: infectado - 1 saltado
C:\Documents and Settings\Diseño\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Diseño\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{581EC0DD-C446-4461-B2A2-4447A42494A3}\RP40\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\appmg.dll Infectados: Trojan.Win32.BHO.abo saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_170.dat Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_2f8.dat Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado


Análisis completado.
juan01_12
18/01/08, 15:10:19
Descargate OTMoveIt (http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe) lo guardas en el Escritorio.


Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
Asegurate que este marcado "Unregister Dll's and Ocx's".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.



C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix\Reboot.exe
C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix.zip
C:\WINDOWS\system32\appmg.dll



Haz clic en MoveIt! Para lanzar la supresión.
Cuando el resultado aparece en el marco Results, haz clic enExit.
Reinicia el PC (Este paso es muy importante)


Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.
morera
21/01/08, 09:19:27
ahora que debo hacer,
no se si el virus esta aun ni el antivirus ni el spyware lo detectan automaticamente.



C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix\Reboot.exe moved successfully.
C:\Documents and Settings\Diseño\Mis documentos\SmitfraudFix.zip moved successfully.
C:\WINDOWS\system32\appmg.dll unregistered successfully.
File move failed. C:\WINDOWS\system32\appmg.dll scheduled to be moved on reboot.

Created on 01/21/2008 07:57:53


gracias por tu tiempo:Bien:
juan01_12
21/01/08, 10:08:36
Hola verifica si se encuentra este archivo:

C:\WINDOWS\system32\appmg.dll

Si es así eliminalo, si no se deja utiliza: KillBox (http://download.bleepingcomputer.com/spyware/KillBox.exe) o Filesassin (http://www.forospyware.com/298547-post10.html).

Realiza un nuevo scaneo con Kaspersky on-line y dejanos el reporte que éste genere.

Saludos!

© Copyright 2005 - 2008 InfoSpyware ® Todos los derechos reservados.
InfoSpyware Security Blog