Hola, me pasaron un archivo por messenger foto.zip, el cual cuando lo abri empezo a tratar de ejecutar el programa internet64.exe, le di block con el spywareterminator sin embargo me di cuenta de cambios que se hicieron en mi computadora se instalo un programa de apple "bonjour" se trato de propagar por mi lista de messenger diciendo que eran nuevas fotos que subi al facebook.

Corri mi antivirus avast, pero no detecto nada.

Baje el AVG y detecto el Trojan SHeur.AQMD, borre los archivos infectados, corri el MSNcleaner y no detecto nada, sin embargo todos los programas comunes que tenia en mi compu, skype, etc, empezaron a salir en la lista de mi spywareterminator preguntandome si los queria bloquear o no.

tengo miedo de que el virus haya cambiado alguna otra cosa. No estoy muy seguro si me deshice por completo del virus.
he tratado de buscar este trojan especificamente pero no he encontrado nada al respecto en internet.

Ya estoy bajando el hijackthis, alguna otra recomendacion?

como le hago para realmente saber si me deshago de el?
donde publico el log del hijackthis?

Corri la version mas nueva del MSNcleaner y no detecta nada
sin embargo corri el spybot y me sale lo siguiente.

Microsoft.WindowsSecurityCenter.FirewallOverride 1 entries
(registry change)
Microsoft.WindowsSecurityCenter.AntivirusOverrride 1 entries
(registry Change)

El ad-aware no lo he corrido.

Al parecer creo que el virus SHeur.AQMD es nuevo, he encontrado algo de informacio acerca del trojan SHeur, pero con diferentesapu variantes.
ni en google encontre acerca del AQMD

estoy apunto de enloquecer. realmente apreciaria mucho la ayuda ::Help::

bienvenido al foro :choborras:

descargate el ccleaner (http://infospyware.com/Herramientas.htm) (este es el manual (http://www.forospyware.com/t39511.html)) y lo usas en las opciones limpiador y luego en registro haciendo una copia del registro..
ahora haz un scan online en estas paginas en este orden que te estoy colocando

ewido (http://www.ewido.net/en/onlinescan/) has click en remove infections, este es el manual (http://www.forospyware.com/t42048.html)
panda (http://www.infospyware.com/Anti-Virus/Panda/) este es el manual (http://www.forospyware.com/t75446.html)

recuerda usar internet explorer para pasar los antivirus.. si usas firefox puedes usar el Ietab (http://www.forospyware.com/t84166.html)
suerte recuerda colocar el log de Panda aqui para revisarlo..

Gracias AXL
Ya corri el Ccleaner.
De antivirus online corri el kaspersky, pero ahorita voy a dejar el panda de una vez :D
El Ewido me detecto tres objetos infectados los cuales ya limpie.

agrego el log del kaspersky. (0 virus detectados)

despues de hacer todo esto, sabes si hay alguna forma de realmente saber que ya esta mi computadora a salvo?

otra cosa no he sabido donde poner el log del hijackthis

Muchas gracias por todo!!

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 05 de febrero de 2008 7:37:50
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 5/02/2008
Registros en la base antivirus: 508992
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\

Estadísticas:
Número de objeros analizados: 54574
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 01:17:40

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080204200802 05\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_8e0.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_e9c.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \cert8.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \formhistory.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \history.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \key3.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \parent.lock Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\MailFrontier\reginfo.xml Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Memeo\AutoSync\logs\MemeoAutoSync.exe.log-2008-2-4.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\History\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked saltado
C:\WINDOWS\Internet Logs\PERSONAL-363B11.ldb Object is locked saltado
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked saltado
C:\WINDOWS\RTacDbg.txt Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{0D1E5C DF-4840-450A-85CE-9AF5EDE18392}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_d4.dat Object is locked saltado
C:\WINDOWS\Temp\ZLT066cc.TMP Object is locked saltado
C:\WINDOWS\Temp\ZLT066cf.TMP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Volvi a correr el AVG
me ha salido lo siguiente hasta este momento

File Result/infection Path
Hosts Change C:\windows\system32\etc\hosts

::ups::

Volvi a correr el AVG
me ha salido lo siguiente hasta este momento

File Result/infection Path
Hosts Change C:\windows\system32\etc\hosts

::ups::

eso significa que te ha encontrado una infeccion en el archivo host (http://www.forospyware.com/t44238.html)

como kaspersky no te ha detectado nada espero a que coloques el reporte del Panda, el log del hijackthis no es necesario por los momentos :Bien:

Me recomiendas bajar el archivo HOST y reemplazar el de mi compu, ademas de volverlo un read-only?

PANDA REPORTO:
LO QUE DETECTO NO LO HE PODIDO BORRAR, NO VI LA OPCION PARA DESINFECTARLO. *son rootkits segun el panda.

Incidencia Estado Elemento

Herramienta potencialmente no deseada:Application/SetACL No desinfectado C:\Archivos de programa\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\data1.cab[SetACL.exe]
Herramienta potencialmente no deseada:Application/SetACL No desinfectado C:\swsetup\SP31101\CPanel\data1.cab[SetACL.exe]

--------------------------------------------------------

el ewido reporto lo siguiente:

ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\Administrador\Cookies\administrador@ssl-hints.netflame[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.44:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\evdnu2fe.default \cookies.txt
Risk: Medium

--------------------------------------------------------------

hola....

los scan online no detectan amenza alguna, solo algunas cookies y dos archivos que en realidad no son peligrosos.

el equipo por lo visto no muestra infeccion que te hace pensar que esta infectado..

Hola. Yo soy nuevo y entré porque me topo con muchos problemas a diario pero la solución queda para mi. Así quiero compartir mis experiencias y tratar de ayudar. Además busqué solución en internet para este problema y no la encontré.

Al fin lo he solucionado hoy y no ha sido con ningún antivirus ni antispyware, me tocó solucionarlo manualmente en 2 máquinas porque no lo detectan. Trata de acomodar esta experiencia a tu caso.

En la carpeta Temp del usuario (X:\Documents and settings\Usuario\Configuración Local\Temp) se crean unos archivos ejecutables como 16.exe, 8.exe y cualquier número que te imagines y unas carpetas temporales. Además en el registro aparece una aplicación ejecutándose automáticamente llamada "winnetwork128.exe", espero que este tambien sea tu caso; lo que hice fue lo siguiente:

1. Abrí el Administrador de Tareas (Ctrl+Alt+Supr) y en procesos Terminé el proceso Winnetwork128.exe

2. Abrí el símbolo del sistema (Ejecutar... cmd... Enter) y entré a la carpeta X:\Windows\System32 (cd\ ... cd windows ... cd system32) y escribí: attrib winnetwork128.exe -h -s -r

3. En una máquina pude eliminar el archivo al primer intento (del winnetwork128.exe), en la otra no, tuve que renombrar el archivo (ren winnetwork128.exe winn.ex_) y reiniciar Windows (puede ser en Modo seguro y realizar también el paso 4). El archivo en ningún momento apareció en el explorador de windows, tube que elimarlo por el símbolo del sistema.

4. Eliminé del registro winnetwork128.exe y también la referencia a cualquiera de los archivos ejecutables como los que mencioné con anterioridad (16.exe - 8.exe - etc.) en (HKLM\Software\Microsoft\Windows\Current version\Run)

5. Reinicié en Modo Seguro (F8 al arrancar) y eliminé por completo la carpeta Temp que mencioné en la introducción. Para poder acceder a esta carpeta debe estar activada la opción Mostrar todos los archivos y carpetas ocultas, en el Explorador de Windows, en Herramientas... Opciones de Carpeta... Ver

Eso fue todo, espero que puedas solucionarlo y cualquiera que tenga este problema.