PDA

Ver la Versión Completa : Problema con un Virus en el Usb que se esconde en la MSCache

fimora
23/01/08, 21:11:58
Hola:

Soy nuevo en este foro espero preguntar de forma correcta



El problema es el siguiente:

En mi memoria Usb Se ha estado pegando un virus que que intenta hacer lo siguiente:

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\wscmgr.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

el archivo es e:autorun.inf

el problema es que ya tengo actualizado mi antivirus (Kaspersky) y no ubico que virus es ni donde esta alojado ya que ya revise toda mi computadora y no aparece.... ojala pudieran ayudarme...



Saludos:

Rick
================================================== ======

Encontre una opcion para eliminarlo en este mismo foro:

http://www.forospyware.com/archive/t-119470.html

pero el problema es que no ubico de donde se esta infectando el pendrive, ya se cual es el virus es el: Trojan-PSW.Win32.Delf.abx

Saludos:

Rick
axl456
23/01/08, 23:54:52
Descarga el SUPERantispyware (http://www.infospyware.com/Anti-Spywares.htm) y realiza un escaneo profundo de tu equipo eliminando lo que encuentre.
luego realiza lo siguiente:

Descarga la herramienta ComboFix (http://www.forospyware.com/sUBs/ComboFix.exe).
Has doble click en el archivo combofix.exe y sigue los avisos, es IMPORTANTE que para que trabaje correctamente no utilices ninguna otra aplicacion mientras él analiza.
Cuando termine este generara un reporte el cual debes pegar aqui.
Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.


nos dejas el reporte del CF.
fimora
24/01/08, 18:42:37
Ok, Lo Hare, Una Pregunta, Que Es Un Falso Positivo? O A Que Se Refiere?

Saludos.
fimora
25/01/08, 15:06:59
AQUI ESTA:



ComboFix 08-01-23.1B - Rick 2008-01-24 23:07:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.73 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\Rick\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2007-12-25 - 2008-01-25 )))))))))))))))))))))))))))))))))
.

2008-01-24 23:15 . 2008-01-24 23:15 <DIR> d-------- C:\Temp
2008-01-24 23:05 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-24 23:01 . 2008-01-24 23:01 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-01-24 23:01 . 2008-01-24 23:01 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-01-24 22:58 . 2008-01-24 23:00 <DIR> d-------- C:\Archivos de programa\Disk Cleaner
2008-01-24 22:38 . 2008-01-24 22:58 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-01-24 22:38 . 2008-01-24 22:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-24 00:34 . 2008-01-24 00:34 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-01-18 22:33 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-01-18 22:33 . 2008-01-18 22:33 379 --a------ C:\WINDOWS\ODBC.INI
2008-01-18 22:29 . 2008-01-18 22:29 <DIR> d-------- C:\Archivos de programa\Microsoft.NET
2008-01-18 22:24 . 2008-01-18 22:28 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-01-18 22:17 . 2008-01-18 22:17 <DIR> dr-h----- C:\MSOCache
2008-01-18 22:08 . 2001-07-17 20:47 370,176 --------- C:\WINDOWS\unchdrv.exe
2008-01-18 22:08 . 2001-07-06 19:47 57,902 --------- C:\WINDOWS\system32\drivers\pc001.sys
2008-01-18 22:08 . 2001-05-02 21:38 17,592 --------- C:\WINDOWS\system32\drivers\dsc001.sys
2008-01-18 22:08 . 2008-01-18 22:08 16,536 --a------ C:\WINDOWS\chlang.ini
2008-01-18 22:05 . 2001-02-09 03:08 318,976 --a------ C:\WINDOWS\system32\Ucs32p.dll
2008-01-18 22:05 . 2001-02-09 03:08 96,256 --a------ C:\WINDOWS\system32\Csp3osu.dll
2008-01-18 22:05 . 2000-06-07 01:01 45,568 --a------ C:\WINDOWS\ScFBPPM3.DLL
2008-01-18 22:05 . 2001-02-09 03:08 16,896 --a------ C:\WINDOWS\system32\Csp3utl.dll
2008-01-18 22:05 . 2000-06-07 01:01 16,032 --a------ C:\WINDOWS\system32\drivers\ScFBPNT3.sys
2008-01-18 22:04 . 2008-01-18 22:04 <DIR> d-------- C:\Archivos de programa\Canon
2008-01-18 22:00 . 2003-02-27 22:30 100,352 --a------ C:\WINDOWS\system32\CNMLM53.DLL
2008-01-18 22:00 . 2003-02-27 22:30 5,632 --a------ C:\WINDOWS\system32\CNMVS53.DLL
2008-01-18 21:59 . 2008-01-18 21:59 <DIR> d--h----- C:\BJPrinter
2008-01-18 21:59 . 2003-02-14 08:31 73,728 -ra------ C:\WINDOWS\system32\CNMCP53.exe
2008-01-18 21:53 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-01-18 21:52 . 1998-11-13 13:04 308,224 --a------ C:\WINDOWS\IsUn040a.exe
2008-01-18 21:19 . 2008-01-18 21:19 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-18 21:19 . 2008-01-18 21:19 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-18 21:18 . 2008-01-18 21:18 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-01-18 21:18 . 2008-01-24 23:10 1,381,664 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-18 21:18 . 2008-01-24 23:10 70,944 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-18 21:18 . 2008-01-24 12:41 24,104 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-18 21:18 . 2008-01-24 12:41 10,592 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-18 13:01 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-18 05:18 . 2001-08-22 14:40 9,472 --a------ C:\WINDOWS\system32\drivers\NtApm.sys
2008-01-18 05:18 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-01-18 05:17 . 2004-08-19 08:21 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-01-18 05:17 . 2004-08-03 16:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-18 05:16 . 2001-08-17 14:28 604,253 --a------ C:\WINDOWS\system32\drivers\vmodem.sys
2008-01-18 05:16 . 2001-08-17 14:28 397,502 --a------ C:\WINDOWS\system32\drivers\vpctcom.sys
2008-01-18 05:16 . 2001-08-17 14:28 112,574 --a------ C:\WINDOWS\system32\drivers\ptserlp.sys
2008-01-18 05:16 . 2001-08-22 15:15 86,016 --a------ C:\WINDOWS\system32\pctspk.exe
2008-01-18 05:16 . 2004-08-19 08:42 77,824 --a------ C:\WINDOWS\system32\usbui.dll
2008-01-18 05:16 . 2001-08-17 14:28 64,605 --a------ C:\WINDOWS\system32\drivers\vvoice.sys
2008-01-18 05:16 . 2004-08-03 16:07 41,088 --a------ C:\WINDOWS\system32\drivers\SISAGP.SYS
2008-01-18 05:16 . 2004-08-03 15:31 32,768 --a------ C:\WINDOWS\system32\drivers\sisnic.sys
2008-01-18 05:16 . 2008-01-18 12:39 1,536 --a------ C:\WINDOWS\system32\TrueSoft.dat
2008-01-18 05:16 . 2008-01-18 12:39 456 --a------ C:\WINDOWS\system32\pthsp.dat
2008-01-18 05:14 . 2008-01-24 22:39 <DIR> d--hs---- C:\WINDOWS\Installer
2008-01-18 05:14 . 2008-01-18 05:14 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ODBC
2008-01-18 05:14 . 2008-01-18 12:54 772,234 --a------ C:\WINDOWS\system32\PerfStringBackup.INI
2008-01-18 05:14 . 2008-01-18 12:39 4,205 --a------ C:\WINDOWS\ODBCINST.INI
2008-01-18 05:13 . 2008-01-18 05:13 <DIR> d-------- C:\Archivos de programa\Archivos comunes\SpeechEngines
2008-01-18 05:12 . 2008-01-24 21:58 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-01-18 05:12 . 2008-01-18 05:12 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2008-01-18 05:12 . 2008-01-18 12:54 <DIR> d-------- C:\Documents and Settings
2008-01-18 05:12 . 2004-08-19 16:49 1,086,058 -ra------ C:\WINDOWS\SET4.tmp
2008-01-18 05:12 . 2004-08-19 18:38 1,014,555 -ra------ C:\WINDOWS\SET3.tmp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-18 18:54 --------- d--h--w C:\Archivos de programa\Uninstall Information
2008-01-18 18:40 --------- d-----w C:\Archivos de programa\microsoft frontpage
2008-01-18 18:35 --------- d-----w C:\Archivos de programa\Servicios en línea
2008-01-18 18:34 --------- d-----w C:\Archivos de programa\Archivos comunes\MSSoap
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 07:42 15360]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 20:50 200768]
"C-Media Mixer"="Mixer.exe" [2007-04-26 11:12 1581056 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 07:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-22 15:15]
R3 NtApm;Controlador de interfaz Apm/Legacy de Windows NT;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-22 14:40]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 14:28]

*Newly Created Service* - PROCEXP90
*Newly Created Service* - SASDIFSV
*Newly Created Service* - SASENUM
*Newly Created Service* - SASKUTIL
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 23:15:16
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-01-24 23:17:46







SIGO SIN SABER DONDE ESTA EL VIRUS. SE QUE NO ESTA CONTAMINADA LA COMPU, POR QUE ACTUALIZE EL ANTIVIRUS Y ESCANEE TODA LA COMPU, AL IGUAL QUE USE EL SUPERSPYWARE.


GRACIAS.
axl456
25/01/08, 20:56:08
hola realiza lo siguiente para desintalar el CF:

Ir a Inicio > Ejecutar Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

http://www.forospyware.com/images/adv/CF_Cleanup.png Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")


tu equipo no esta contaminado :Bien:

cual es la duda que tienes especificamente?
fimora
25/01/08, 21:14:13
MI DUDA ES, COMO PUEDO VER DE DONDE ME ESTOY INFECTANDO. POR QUE LO ELIMINO, PERO DESPUES VUELVE A APARECER.


GRACIAS, ES LA ULTIMA PREGUNTA, DESPUES DE CONTESTARLA PUEDES DARLA POR CERRADO.


ATTE:
rICK.
axl456
25/01/08, 23:00:25
si se trata de un autorun.inf infectado el virus se trasnmite a traves de las memorias USB.

conecta la memoria (sin acceder a ella ni abrirla porque se ejecutaria el virus) y luego ejecuta el flashdesinfector (http://www.forospyware.com/408993-post9.html) en tu equipo.

© Copyright 2005 - 2008 InfoSpyware ® Todos los derechos reservados.
InfoSpyware Security Blog