Que tal, tengo esta porquería y no logro eliminarla.
La detecta AdAware se cada vez que escaneo despues de prender la maquina, ya sea normal o en modo de fallos. No tengo restaurar el sistema.
También he pasado el Pandascan, el Kaspersky y el Nod32 y ninguno lo detecta. SpyBot no lo detecta tampoco.
¿Alguna idea para deshacerme de esta mugre?
P.D. ¿de dodnde proviene esta cosa normalemnte, mail, p2p,?::ups:: ::Help::

Incluyo el log del AdAware se:

"
Ad-Aware SE Build 1.06r1
Logfile Created on:Sábado, 14 de Octubre de 2006 01:35:57 p.m.
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R126 12.10.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):3 total references
Win32.Trojan.Agent(TAC index:10):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Search for low-risk threats
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Run scan as background process (Low CPU usage)
Set : Scan registry for all users instead of current user only
Set : Use permanent archive caching
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


14-10-2006 01:35:57 p.m. - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 588
ThreadCreationTime : 14-10-2006 06:14:04 p.m.
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 636
ThreadCreationTime : 14-10-2006 06:14:07 p.m.
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 660
ThreadCreationTime : 14-10-2006 06:14:08 p.m.
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 704
ThreadCreationTime : 14-10-2006 06:14:08 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Aplicación de servicios y controlador
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 716
ThreadCreationTime : 14-10-2006 06:14:08 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 872
ThreadCreationTime : 14-10-2006 06:14:09 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 920
ThreadCreationTime : 14-10-2006 06:14:10 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1024
ThreadCreationTime : 14-10-2006 06:14:10 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1072
ThreadCreationTime : 14-10-2006 06:14:11 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1300
ThreadCreationTime : 14-10-2006 06:14:13 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [crypserv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1388
ThreadCreationTime : 14-10-2006 06:14:23 p.m.
BasePriority : High
FileVersion : 5.4.0
ProductVersion : 5.4
ProductName : CrypKey Software Licensing System
CompanyName : Kenonic Controls Ltd.
FileDescription : CrypKey NT Service
InternalName : crypserv
LegalCopyright : Copyright © 2000
LegalTrademarks : CrypKey
OriginalFilename : crypserv.exe
Comments : Operates in all directories, not just configured ones. Directory configuration only used for fille clean up and uninstall. 0/3 fixed problem with other partitions. 0/6 fixed problem with short paths

#:12 [nod32krn.exe]
FilePath : C:\Archivos de programa\Eset\
ProcessID : 1432
ThreadCreationTime : 14-10-2006 06:14:23 p.m.
BasePriority : Normal


#:13 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1468
ThreadCreationTime : 14-10-2006 06:14:23 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:14 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ProcessID : 1532
ThreadCreationTime : 14-10-2006 06:14:24 p.m.
BasePriority : Normal
FileVersion : 3.5.169.002
ProductVersion : 3.5.169.002
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1999-2002, Zone Labs Inc.
OriginalFilename : vsmon.exe

#:15 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2036
ThreadCreationTime : 14-10-2006 06:14:31 p.m.
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:16 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1164
ThreadCreationTime : 14-10-2006 06:34:24 p.m.
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : EXPLORER.EXE

#:17 [jusched.exe]
FilePath : C:\Archivos de programa\Java\jre1.5.0_03\bin\
ProcessID : 1412
ThreadCreationTime : 14-10-2006 06:34:26 p.m.
BasePriority : Normal


#:18 [nod32kui.exe]
FilePath : C:\Archivos de programa\Eset\
ProcessID : 1428
ThreadCreationTime : 14-10-2006 06:34:26 p.m.
BasePriority : Normal


#:19 [amoumain.exe]
FilePath : C:\ARCHIV~1\A4Tech\Mouse\
ProcessID : 1704
ThreadCreationTime : 14-10-2006 06:34:26 p.m.
BasePriority : Normal
FileVersion : 7.40.0.0
ProductVersion : 7.40.0.0
ProductName : A4Tech iWheelWorks Mouse Driver
CompanyName : A4Tech Co.,Ltd.
FileDescription : Amoumain
InternalName : Amoumain
LegalCopyright : Copyright © A4Tech Co.,Ltd. 1999-2003
LegalTrademarks : A4Tech is a registered trademark of A4Tech Co.,Ltd.
OriginalFilename : Amoumain.exe
Comments : A4Tech iWheelWorks Mouse Driver

#:20 [msmsgs.exe]
FilePath : C:\Archivos de programa\Messenger\
ProcessID : 1872
ThreadCreationTime : 14-10-2006 06:34:26 p.m.
BasePriority : Normal
FileVersion : 4.7.3001
ProductVersion : Version 4.7.3001
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Windows Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:21 [teatimer.exe]
FilePath : C:\Archivos de programa\Spybot - Search & Destroy\
ProcessID : 1888
ThreadCreationTime : 14-10-2006 06:34:27 p.m.
BasePriority : Idle
FileVersion : 1, 4, 0, 2
ProductVersion : 1, 4, 0, 3
ProductName : Spybot - Search & Destroy
CompanyName : Safer Networking Limited
FileDescription : System settings protector
InternalName : TeaTimer
LegalCopyright : © 2000-2005 Patrick M. Kolla / Safer Networking Limited. Alle Rechte vorbehalten.
LegalTrademarks : "Spybot" und "Spybot - Search & Destroy" sind registrierte Warenzeichen.
OriginalFilename : TeaTimer.exe
Comments : Schützt Systemeinstellungen vor ungewollten Änderungen.

#:22 [devldr32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1940
ThreadCreationTime : 14-10-2006 06:34:29 p.m.
BasePriority : Normal
FileVersion : 1, 0, 0, 17
ProductVersion : 1, 0, 0, 17
ProductName : Creative Ring3 NT Inteface
CompanyName : Creative Technology Ltd.
FileDescription : DevLdr32
InternalName : DevLdr
LegalCopyright : Copyright (C) Creative Technology Ltd. 1998-2001
OriginalFilename : DevLdr32.exe

#:23 [reader_sl.exe]
FilePath : C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\
ProcessID : 216
ThreadCreationTime : 14-10-2006 06:34:37 p.m.
BasePriority : Normal
FileVersion : 7.0.0.0
ProductVersion : 7.0.0.0
ProductName : Adobe Acrobat
CompanyName : Adobe Systems Incorporated
FileDescription : Adobe Acrobat SpeedLauncher
LegalCopyright : Copyright Adobe Systems Incorporated 2004
OriginalFilename : AcroSpeedLaunch.exe

#:24 [zapro.exe]
FilePath : C:\Archivos de programa\Zone Labs\ZoneAlarm\
ProcessID : 1780
ThreadCreationTime : 14-10-2006 06:34:39 p.m.
BasePriority : Normal
FileVersion : 3.5.169.002
ProductVersion : 3.5.169.002
ProductName : ZoneAlarm Pro
CompanyName : Zone Labs Inc.
FileDescription : ZoneAlarm Pro
InternalName : zapro
LegalCopyright : Copyright © 1999-2002, Zone Labs Inc.
OriginalFilename : zapro.exe

#:25 [soffice.exe]
FilePath : C:\Archivos de programa\OpenOffice.org 2.0\program\
ProcessID : 1332
ThreadCreationTime : 14-10-2006 06:34:50 p.m.
BasePriority : Normal
FileVersion : 1.09.8985
ProductVersion : 1.09.8985
CompanyName : OpenOffice.org
FileDescription : OpenOffice.org 2.0
InternalName : SOFFICE
LegalCopyright : Copyright © 2005 by Sun Microsystems, Inc.
OriginalFilename : SOFFICE.EXE

#:26 [soffice.bin]
FilePath : C:\Archivos de programa\OpenOffice.org 2.0\program\
ProcessID : 332
ThreadCreationTime : 14-10-2006 06:34:54 p.m.
BasePriority : Normal
FileVersion : 1.09.8985
ProductVersion : 1.09.8985
CompanyName : OpenOffice.org
FileDescription : OpenOffice.org 2.0
InternalName : SOFFICE
LegalCopyright : Copyright © 2005 by Sun Microsystems, Inc.
OriginalFilename : SOFFICE.EXE

#:27 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\
ProcessID : 108
ThreadCreationTime : 14-10-2006 06:35:14 p.m.
BasePriority : Idle
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:28 [spybotsd.exe]
FilePath : C:\Archivos de programa\Spybot - Search & Destroy\
ProcessID : 1116
ThreadCreationTime : 14-10-2006 06:35:32 p.m.
BasePriority : Normal
FileVersion : 1.4.0.3
ProductVersion : 1, 4, 0, 3
ProductName : SpyBot-S&D
CompanyName : Safer Networking Limited
FileDescription : Spybot - Search & Destroy
InternalName : SpybotSD
LegalCopyright : © 2000-2005 Patrick M. Kolla / Safer Networking Limited. Alle Rechte vorbehalten.
LegalTrademarks : "Spybot" und "Spybot - Search & Destroy" sind registrierte Warenzeichen.
OriginalFilename : SpyBotSD.exe
Comments : Software zum Entfernen von Spyware und ähnlichen Bedrohungen.

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojan.Agent Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{48e59293-9880-11cf-9754-00aa00c00908}

Win32.Trojan.Agent Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{48e59291-9880-11cf-9754-00aa00c00908}

Win32.Trojan.Agent Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : typelib\{48e59290-9880-11cf-9754-00aa00c00908}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 3


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3

Disk Scan Result for C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3

Disk Scan Result for C:\DOCUME~1\User\CONFIG~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 3



MRU List Object Recognized!
Location: : C:\Documents and Settings\User\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-1547161642-789336058-842925246-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1547161642-789336058-842925246-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6

01:57:58 p.m. Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:22:00.279
Objects scanned:84362
Objects identified:3
Objects ignored:0
New critical objects:3

Hola Astroboicito, dado que no comentás nada al respecto supongo que no has buscado en el foro como han solucionado otros usuarios problemas similares al tuyo con anterioridad.

CONSEJOS PARA ANTES DE PUBLICAR UN NUEVO MENSAJE (http://www.forospyware.com/t2.html)
3.- Antes de crear un tema, comprueba si ya está creado con ayuda del Buscador del Foro Spyware muchas consultas ya están respondidas.

Prueba de seguir estos pasos (http://www.forospyware.com/t27677.html) que surtieron efecto a otro usuario con el mismo troyano que vos y comentanos si te solucionó el problema o buscamos otras alternativas.

Saludos,
Dilbert.

buenas.. fijate si es un proceso activo del sistema, ya sabes en que carpeta esta asi que si es un prroceso activo intenta finalizarlo, si la pc te deja terminar el proceso anda a la carpeta y volalo y si no te deja finalizarlo reinicia la pc y apenas aparesca el escritorio anda lo mas rapido que puedas a la carpeta y borralo antes de que carge, esta si es un poceso activo, o proba con algun programita del tipo del cclearn o alguno de esos que arrazan con todo y borran hasta lo que no se puede. y si no, no se. suerte

Gracias.

si efectue una busqueda del vicharrajo en el foro y segui lo que decia en el asunto cerrado. Baje la herramienta de ustedes y segui paso a paso el proceso.
A prueba de fallos, sin restauracion de sistema, disc cleaner, reg seeker o n ose que, en fin, busque entre los programas instalados y no encontre ninguno de los supuestos antiespias, baje su herramienta y la pase sin que diera ningun resultado.
Reinicie la maquina y la basura esa volvio a parecer en el escaneo del AdAware se.

RRRGRrgrgrgrgrg:chillando

Astroboicito, por favor seguí estos pasos:

:1: Si tenés un antivirus en tu máquina borrá todo lo que tengas en cuarentena.

:2: Ejecutá DelPSGuard en Modo Normal y luego en Modo Seguro o Modo a Prueba de fallos (http://www.forospyware.com/47-post4.html).

:3: Ejecutás RegSeeker y borras hasta que no quede nada en tu PC.

:4: Realiza un escaneo con Ewido Online (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html) y nos pegas aquí el log de los virus que haya encontrado.

:5: Además del Adaware, qué otros productos de seguridad tenés para no volver a contagiarte? Antivirus, Antispyware residente, Firewall ?

Saludos,
Dilbert.

Graicas de nuevo Dilbert
Seguí tu guía completamente y sigue la porquería ahi.

1.- Nod, nada en la cuarentena

2.- el DelPSGuard corrió en modo de fallos bien, te pongo despues el log. En modo normal, no jala bien, cuando va a escanear los archivos...se queda eternamente, de hecho algo pasa y se me desaparece la barra de tareas y tengo que reiniciar. Te pego el reporte a modo de prueba de fallos:

DelPSGuard v 4.1.9
by www.ForoSpyware.com
Escaneo a las: 13:51:30.95, 19/10/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»




3.- borre todo con RegSeeker

4.- Ewido Online encontró lo siguiente:

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Not-A-Virus.Test.Eicar
Path: E:\lazador\programas\seguridad\spy\eicar_com.zip/eicar.com
Risk: Low

Name: Downloader.Small
Path: E:\System Volume Information\_restore{F14BDA1B-70E3-42A3-8253-8EEB8ED85538}\RP107\A0024848.exe
Risk: High



5.- Tengo Nod de antivirus, Zone Alarm de Fire, Spyblaster y SpyBot de residentes.

6.- Pase también una herramienta de Kaspersky, el MicroWorld y encontró lo siguiente:

Thu Oct 19 11:34:25 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Thu Oct 19 11:35:35 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

¿CON QUE LE SIGO?:enfermo: :enfermo:

Holas a todos. Escanea con Kaspersky Online (http://www.forospyware.com/t55793.html) tal como dice ese link y nos pegas el reporte.

Salu2

Pues nada de nada.
Kaspersky no encuentra nada salvo los archivos de prueba eicar.

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\User\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\User\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\User\Configuración local\Historial\History.IE5\MSHist0120061019200610 20\index.dat Object is locked skipped
C:\Documents and Settings\User\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \cert8.db Object is locked skipped
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \formhistory.dat Object is locked skipped
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \history.dat Object is locked skipped
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \key3.db Object is locked skipped
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\zfau6xxy.default \parent.lock Object is locked skipped
C:\Documents and Settings\User\Escritorio\eicarcom2.zip/eicar_com.zip/eicar.com Infected: EICAR-Test-File skipped
C:\Documents and Settings\User\Escritorio\eicarcom2.zip/eicar_com.zip Infected: EICAR-Test-File skipped
C:\Documents and Settings\User\Escritorio\eicarcom2.zip ZIP: infected - 2 skipped
C:\Documents and Settings\User\Escritorio\eicar_com.zip/eicar.com Infected: EICAR-Test-File skipped
C:\Documents and Settings\User\Escritorio\eicar_com.zip ZIP: infected - 1 skipped
C:\Documents and Settings\User\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\User\NTUSER.DAT.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\RUKITA.ldb Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\ZLT07a64.TMP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
E:\System Volume Information\MountPointManagerRemoteDatabase

¿Qué hago?:enfermo:

Podrías verificar si tenés la siguiente entrada en tu registro de Windows?

Inicio -> Ejecutar -> Regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Buscalo con cuidado para no alterar borrando o modificando el registro.

Gracias,
Dilbert.

Holas, permisin ;)




Name: Downloader.Small
Path: E:\System Volume Information\_restore{F14BDA1B-70E3-42A3-8253-8EEB8ED85538}\RP107\A0024848.exe
Risk: High


Para eliminar esta infeccion presente en la carpeta _restore, debes apagar la opcion
Restaurar Sistema (http://www.forospyware.com/45-post2.html) si tienes Windows ME o XP.


6.- Pase también una herramienta de Kaspersky, el MicroWorld y encontró lo siguiente:

Thu Oct 19 11:34:25 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Thu Oct 19 11:35:35 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.


Entra en Modo Seguro (http://www.forospyware.com/47-post4.html), ve a inicio---ejecutar---regedit y das enter. Alli, ve navegando por el panel izquierdo, hasta llegar a esta entrada:

HKEY_LOCAL_MACHINE\Software\microsoft\downloadmana ger !!! Elimina lo que esta en rojo (click derecho, eliminar).


Ahora, descargate el Spysweeper (http://www.infospyware.com/Anti-Spywares.htm) y el
AVG antispyware (http://www.infospyware.com/Anti-Spywares.htm)

Realiza un escaneo completo con ambos (uno por uno) en Modo Seguro, y luego haz un escaneo online con Panda Active Scan (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html), y con la herramienta MWAV (microworld).

Nos pegas los reportes generados, para ver como sigue todo.
Suerte :Bien:

Gracias Fulgore y Dilbert:

1.- Dilbert, no hay tal entrada.

2.- Fulgore, no hay tal entrada y el disco E no es disco con sistem, es unicamente de archivos sin sistema operativo.

Panda no encuentra nada y AVG no puede ser instalado pues teng oel Nod32.

¡Auxilio! el AdAware sigue encontrando la porquería esta.

Hola. AVG que te recomende no es el antivirus, es un antispyware.

Hola:

Volví a realizar los 11 pasos para quitar la porqueria esta y el resultado es el mismo.
Pego a continuación los logs:

DelPSGuard = nada

mwav =
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Panda =

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[2].txt
Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@www.a demails[1].txt
Spyware:Cookie/2o7 No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\blk6ly6u.default \cookies.txt[.2o7.net/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\blk6ly6u.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\blk6ly6u.default \cookies.txt[.google.com.ar/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\blk6ly6u.default \cookies.txt[.atdmt.com/]
Spyware:Cookie/Searchportal No desinfectado C:\Documents and Settings\User\Datos de programa\Mozilla\Profiles\default\5qiub489.slt\coo kies.txt[searchportal.information.com/]
Spyware:Cookie/Atwola No desinfectado C:\Documents and Settings\usuario 1\Datos de programa\Mozilla\Firefox\Profiles\jrsmvufu.default \cookies.txt[.atwola.com/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\usuario 1\Datos de programa\Mozilla\Firefox\Profiles\jrsmvufu.default \cookies.txt[.google.com.ar/]
Posible Virus.

TrendMicro=

Company DIAL_TIBS
Product Name TIBS Dialer
Company URL http://www.tibsystems.com/
Privacy URL n/a

Sigue los siguientes pasos para eliminar el istbar:

:1: Visita Windows Update (http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=es) para que descargues las últimas actualizaciones criticas de seguridad, y Aquí para el internet explorer (http://www.microsoft.com/windows/ie_intl/es/download/default.mspx).

:2: Apaga Restaurar Sistema (http://www.forospyware.com/45-post2.html)

:3: Ver archivos ocultos (http://www.forospyware.com/46-post3.html)

:4: Reinicia a prueba de fallos (http://www.forospyware.com/47-post4.html)

:5: Ve al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:
- stylexp
- imesh

:6: Ve a C:\Archivos de programa y borra las carpeta de stylexp y imesh si no se dejan eliminar utiliza KillBox (http://www.forospyware.com/49-post6.html) (con la opcion "Delete on reboot" )

:7: Si tienes algunos de estos programas desinstálalo: Programas P2P con y sin Spyware (Actualizado 01 de Julio 06) (http://www.forospyware.com/t7.html)

:8: Pasa estas herramientas:
- Ad-Aware 1.06 SE Personal (http://www.infospyware.com/Anti-Spywares.htm) Actualizado
- Ccleaner+Manual (http://www.forospyware.com/t39511.html) para limpiar cookis y temporales.
- RegSeeker (http://www.infospyware.com/) para limpiar el registro y su manual (http://www.forospyware.com/t713.html) pasalo varias veces hasta que ya no te salga nada.

:9: Tipea Inicio -> Ejecutar -> Regedit y verifica que no se encuentren estas entradas:
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run cfuf
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run oronif
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run ist service
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run w7cuu
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run 5fuekkr

:10: Reinicias en modo normal, escaneas con Mwav y nos pegas nuevamente el reporte.

Saludos,
Dilbert.

Negativo a todo.

Realicé todos los pasos.
No hay entradas en el registro como las que marcas, no hay esos programas instaldos, nada de nada.

El Ad Aware es el ultimo y actualizado y mi Windows está al dia.

¡¿Qué pasa!?

Holas a todos. Es extraño... ::pensar::

Ve a Inicio ==> Ejecutar... ==> regedit y borra las siguientes carpetas:
HKEY_CLASSES_ROOT\clsid\{48e59293-9880-11cf-9754-00aa00c00908}
HKEY_CLASSES_ROOT\interface\{48e59291-9880-11cf-9754-00aa00c00908}
HKEY_CLASSES_ROOT\typelib\{48e59290-9880-11cf-9754-00aa00c00908}

Ademas inmuniza con SpywareBlaster (http://www.forospyware.com/t11.html) y escanea el registro con AVG Antispyware.

Salu2

No hay tales entradas.

Como expliqué al principio, tengo spybot y spyblaster residentes.
El AVG n oencuentra nada de nada.

GRGRGRGRGR

Por lo que tu dices esas entradas no existen, pero es la unica infeccion que muestra el reporte del Ad-Aware asi que no nos queda mas que hacer, a menos que nos pegues otro reporte.

Salu2

Que tal, pego mi log de HijackThis.

Espero alguien ::ups:: encuentre que pasa con mi maquina.

Gracias