Blog Registrarse Manuales Programas Glosario

Regresar   Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Foro de Virus y Spywares
Actualizar Lnk/Acespades.A (Virus)
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog


Foro de Virus y Spywares Ayuda con: Malwares - Virus - Spywares - Troyanos - Adwares - Worms - Hijackers - Dialers - Rootkits - Keylogger - etc.) Plantéanos tu problema en este sector.
No ponga su log de HijackThis aquí !!

Tema Cerrado
Página 1 de 3 1 23
 
Enviar a: Herramientas
  post #1  
Antiguo 24/08/07, 16:21:11
Avatar de Transgenic
Usuario
  
Registrado: jun 2007
Ubicación: Chile
Mensajes: 28
Contactar con Transgenic a través de MSN
Atención Lnk/Acespades.A (Virus)
No se de que archivo descargado habra aparecido porque NOD32 no lo detecto ni tampoco el Dr Spyware.
Todos los accesos directos estan infectados, pero tambien me fije que los exes tambien lo estan porque salen con el mismo icono de los lkn.

No he hecho mas que escanear con el NOD32 y Dr. Spyware y hasta ahora no me quiero atrever a hacer mas cosas ya que en una ocacion Ustedes me ayudaron con un problema de mi ordenador y sali intacto de él.

Pido ayuda por favor



Aqui hay algo de info sobre el virus.

Cita:
Lnk/Acespades.A. Primer infector de archivos LNK
http://www.vsantivirus.com/lnk-acespades-a.htm

Nombre: Lnk/Acespades.A
Tipo: Virus infector de .LNK
Alias: Acespades, LNK_ACESPADES.A, Win32/Acespades.A
Fecha: 9/ene/05
Plataforma: Windows NT, 2000 y XP
Tamaño: 2 KB (aprox.)

Se trata del primer virus conocido del tipo LNK que infecta otros archivos con esa extensión (un archivo .LNK es un acceso directo a un programa).

Llega a la computadora en un archivo con dicha extensión como adjunto de un mensaje no deseado (spam), o descargado de sitios no confiables o de redes P2P.

Cuando el usuario lo ejecuta (doble clic), abre una línea de comandos, y reemplaza todos los accesos directos (.LNK) en la carpeta actual por una copia de si mismo.

Si el usuario descarga el archivo y lo ejecuta en el escritorio (donde suelen colocarse por comodidad la mayoría de los accesos directos a múltiples programas y aplicaciones), todos esos accesos serán suplantados por el virus.

El virus no realiza ninguna otra acción, y parece estar creado como una prueba de concepto, aunque existe por lo menos un reporte de incidencias del mismo.

El virus se ejecuta solo en Windows NT, 2000 y XP.

Los archivos .LNK sobrescritos deberán ser restaurados de un respaldo limpio o vueltos a crear.


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, y ejecútelo para eliminar todas las apariciones de este virus.

NOTA: Los archivos .LNK sobrescritos deberán ser restaurados de un respaldo limpio o vueltos a crear.
InfoSpyware

  post #2  
Antiguo 24/08/07, 17:16:52
Baneado
  
Registrado: dic 2006
Ubicación: V
Mensajes: 169
Re: Lnk/Acespades.A (Virus)
Hola! como estás?


Haz lo siguiente

**PASO 1** Descarga: CCleaner

**PASO 2** Usa CCleaner para limpiar cookies y temporales (Lee el Manual) (Con el Navegador CERRADO)

**PASO 3** Haz un escaneo online 1ero con Ewido y luego con Kaspersky:

* Ewido con la opción Remove Infections activada (lee el Manual) <-- Elimina todo lo que encuentre
* Karpersky (lee el Manual)

pegas aquí los reportes que te generen.

Nota: Recuerda que para pasar estos Antivirus On-line, necesitas usar el Internet Explorer. Si usás Firefox, puedes pasarlos con la extensión IETab.



Exitos...!!!
  post #3  
Antiguo 24/08/07, 20:16:46
Avatar de Transgenic
Usuario
  
Registrado: jun 2007
Ubicación: Chile
Mensajes: 28
Contactar con Transgenic a través de MSN
Re: Lnk/Acespades.A (Virus)
He hecho todos los pasos que me diste... aunque tuve unos problemas para lograrlos ya que el virus afecto extrañamente los .exe y para poder ejecutar IE y CCleaner tuve que usar cualquier archivo y poner Abrir Con y asi poder entrar a esos programas.

Bueno, aqui esta el Reporte

Cita:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, August 24, 2007 7:13:22 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 24/08/2007
Kaspersky Anti-Virus database records: 389594
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 52653
Number of viruses found: 1
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 00:44:23

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked skipped
C:\Archivos de programa\Eset\cache\FND8.NFI/data0000.cab/SERVER~1.EXE Infected: Backdoor.Win32.Bifrose.acs skipped
C:\Archivos de programa\Eset\cache\FND8.NFI/data0000.cab Infected: Backdoor.Win32.Bifrose.acs skipped
C:\Archivos de programa\Eset\cache\FND8.NFI Rsrc-Package: infected - 2 skipped
C:\Archivos de programa\Eset\cache\FND8.NFI PE-Crypt.XorPE: infected - 2 skipped
C:\Archivos de programa\Eset\infected\IOYOX5BA.NQF/data0000.cab/SERVER~1.EXE Infected: Backdoor.Win32.Bifrose.acs skipped
C:\Archivos de programa\Eset\infected\IOYOX5BA.NQF/data0000.cab Infected: Backdoor.Win32.Bifrose.acs skipped
C:\Archivos de programa\Eset\infected\IOYOX5BA.NQF Rsrc-Package: infected - 2 skipped
C:\Archivos de programa\Eset\infected\IOYOX5BA.NQF PE-Crypt.XorPE: infected - 2 skipped
C:\Archivos de programa\Eset\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120070824200708 25\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cert8.db Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \flashgot.log Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \formhistory.dat Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \history.dat Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \key3.db Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \parent.lock Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \search.sqlite Object is locked skipped
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_4c8.dat Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.
  post #4  
Antiguo 24/08/07, 21:15:35
Avatar de Kirigi
Warrior
  
Registrado: jun 2007
Ubicación: Venezuela- Vargas- La Guaira
Mensajes: 6.544
Re: Lnk/Acespades.A (Virus)
Hola Transgenic

Vacia la cuarentena del nod32 ubicada

C:\Archivos de programa\Eset\infected solo vacia lo q esta adentro de esa carpeta

Y para los accesos directo prueba con esto

LNK (acceso directo)

Salu2
  post #5  
Antiguo 24/08/07, 21:24:22
Avatar de Transgenic
Usuario
  
Registrado: jun 2007
Ubicación: Chile
Mensajes: 28
Contactar con Transgenic a través de MSN
Re: Lnk/Acespades.A (Virus)
Vacié la carpeta de cuearentena de NOD32

Con respecto a lo segundo que pusiste no se que hacer, ya que cuando lo guardo en el pc y lo quiero ejecutar dice que windows necesita conocer el programa con que fue creado y tengo que escoger de una lista de programas en mi PC con cual abrilo (esto ocurre con todos los .EXE)

-recien me di cuenta que lo anterior ocurre con todos los archivos .REG que tenia
-tampoco puedo ejecutar regedit desde Inicio>Ejecutar

-ultima edicion: he podido insertar el registro y se han recuperado todos los accesos directos e incluso los .exe pero el virus aun sigue ahi (¿donde? no lo se). Otro detalle es que no cargaba el NOD32 al iniciar Windows junto con otros mas que aparecian en los iconos de la izquierda, abajo.
Ahora instale Kaspersky y estoy analizando nuevamente el disco para ver si puede aniquilar a ese virus.
Última edición por Transgenic fecha: 24/08/07 a las 22:46:07.
  post #6  
Antiguo 25/08/07, 13:33:20
Avatar de Kirigi
Warrior
  
Registrado: jun 2007
Ubicación: Venezuela- Vargas- La Guaira
Mensajes: 6.544
Re: Lnk/Acespades.A (Virus)
Hola Transgenic has lo siguiente
  • Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
  • Hace doble-click en el archivo combofix.exe y seguí los avisos.
  • Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.
  • Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Luego has un scanner con Panda y me pegas el reporte aqui nuevamente .

Salu2 Recuerda Volver...
  post #7  
Antiguo 25/08/07, 15:53:40
Avatar de Transgenic
Usuario
  
Registrado: jun 2007
Ubicación: Chile
Mensajes: 28
Contactar con Transgenic a través de MSN
Re: Lnk/Acespades.A (Virus)
ComboFix
Cita:
ComboFix 07-08-25.2 - "Administrador" 2007-08-25 12:56:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.150 [GMT 2:00]


Other Deletions


C:\DOCUME~1\ADMINI~1\DATOSD~1\microsoft\internet explorer\quick launch\intern~1.lnk


Files Created from 2007-07-25 to 2007-08-25


2007-08-25 12:55 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-24 21:03 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-08-24 21:03 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-08-24 21:02 36,896 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-08-24 21:02 1,958,688 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-08-24 21:02 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2007-08-24 20:52 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Kaspersky Lab Setup Files
2007-08-24 18:00 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Kaspersky Lab
2007-08-24 15:32 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-24 00:39 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-24 00:36 <DIR> d-------- C:\DOCUME~1\ADMINI~1\.housecall6.6
2007-08-22 11:42 545,280 --a------ C:\WINDOWS\flashax.exe
2007-08-22 11:42 192,000 --a------ C:\WINDOWS\screenSaver2.scr
2007-08-22 11:42 12,288 --a------ C:\WINDOWS\impborl.dll
2007-08-22 11:42 <DIR> d-------- C:\WINDOWS\screenSaver2 dir
2007-08-22 11:13 <DIR> d-------- C:\Archivos de programa\ForceVision
2007-08-20 22:51 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\EditPlus 2
2007-08-20 22:51 <DIR> d-------- C:\Archivos de programa\EditPlus 2
2007-08-20 12:40 <DIR> d-------- C:\LECTURA
2007-08-20 12:13 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Thinstall
2007-08-18 20:21 356,352 --a------ C:\WINDOWS\eSellerateEngine.dll
2007-08-18 20:21 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\TEMP
2007-08-18 20:20 258,352 --a------ C:\WINDOWS\system32\Unicows.dll
2007-08-18 15:29 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-08-18 14:21 <DIR> d-------- C:\Archivos de programa\MSXML 6.0
2007-08-18 14:16 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2007-08-18 13:54 <DIR> d-------- C:\WINDOWS\system32\es-es
2007-08-18 13:40 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-08-18 11:53 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-08-18 11:21 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Vbox
2007-08-17 13:37 4,245,008 --a------ C:\WINDOWS\system32\qtp-mt334.dll
2007-08-17 13:37 38,448 --a------ C:\WINDOWS\system32\drivers\hotcore3.sys
2007-08-17 13:37 247,824 --a------ C:\WINDOWS\system32\prgiso.dll
2007-08-17 13:37 13,840 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-08-17 13:37 <DIR> d-------- C:\Archivos de programa\Paragon Software
2007-08-15 22:43 <DIR> d-------- C:\Archivos de programa\FruityPro
2007-08-15 22:38 90,624 --a------ C:\WINDOWS\system32\pnc32301.dll
2007-08-15 22:38 373,643 --a------ C:\WINDOWS\system32\Cool.dll
2007-08-15 22:38 <DIR> d-------- C:\Archivos de programa\Cooledit
2007-08-15 22:34 11,910 --a------ C:\WINDOWS\system32\GENMIDI.DLL
2007-08-15 22:33 229,376 --a------ C:\WINDOWS\system32\CW3220.DLL
2007-08-15 22:33 20,992 --a------ C:\WINDOWS\system32\UNDERFLW.DLL
2007-08-15 22:33 149,504 --a------ C:\WINDOWS\UNWISE.EXE
2007-08-15 22:33 <DIR> d-------- C:\Audio
2007-08-14 00:21 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Audacity
2007-08-14 00:20 <DIR> d-------- C:\Archivos de programa\Audacity 1.3 Beta (Unicode)
2007-08-13 22:09 <DIR> d-------- C:\Archivos de programa\Video Pilot
2007-08-13 22:09 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Two Pilots
2007-08-13 21:55 <DIR> d-------- C:\Archivos de programa\DebugMode
2007-08-12 12:53 <DIR> d-------- C:\Archivos de programa\Matroska Pack
2007-08-12 12:47 52,338 --a------ C:\WINDOWS\system32\RadLightOggUninstall.exe
2007-08-12 12:46 <DIR> d-------- C:\Archivos de programa\Haali
2007-08-12 00:16 <DIR> d-------- C:\Archivos de programa\SubMagic
2007-08-11 22:23 <DIR> d-------- C:\Archivos de programa\StuffPlug3
2007-08-11 22:07 <DIR> d-------- C:\Archivos de programa\Hide The IP
2007-08-11 16:27 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\MxBoost
2007-08-01 18:58 <DIR> d-------- C:\Games
2007-07-29 17:19 <DIR> d-------- C:\Archivos de programa\Wesnoth
2007-07-29 17:02 <DIR> d-------- C:\DOCUME~1\ADMINI~1\.xmoto
2007-07-29 17:01 <DIR> d-------- C:\Archivos de programa\XMoto
2007-07-29 16:09 65,536 --a------ C:\WINDOWS\IFinst27.exe
2007-07-28 10:51 <DIR> d-------- C:\Archivos de programa\RunIt!
2007-07-27 23:04 <DIR> d-------- C:\WINDOWS\pss
2007-07-27 21:22 344,064 -ra------ C:\WINDOWS\system32\msvcr70.dll
2007-07-27 21:22 14,604 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2007-07-27 21:07 <DIR> d-------- C:\Archivos de programa\Your Company Name


Find3M Report

2007-08-25 12:44 --------- d-------- C:\Archivos de programa\FlashGet
2007-08-25 10:45 4148 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-08-25 10:45 26636 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-22 22:09 --------- d-------- C:\Archivos de programa\Soulseek-Test
2007-08-22 10:40 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Ulead Systems
2007-08-22 10:40 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Ulead Systems
2007-08-22 10:40 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Ulead Systems
2007-08-20 12:40 798208 --a------ C:\WINDOWS\system32\VFP5ESN.DLL
2007-08-20 12:40 3220752 --a------ C:\WINDOWS\system32\VFP500.DLL
2007-08-20 10:45 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\uTorrent
2007-08-20 10:45 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\uTorrent
2007-08-18 14:33 --------- d-------- C:\Archivos de programa\movie maker
2007-08-18 11:17 --------- d--h----- C:\Archivos de programa\InstallShield Installation Information
2007-08-11 22:23 --------- d-------- C:\Archivos de programa\Windows Live Messenger Khalid Edition v5.0
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-29 18:44 --------- d-------- C:\Archivos de programa\BFG
2007-07-24 18:03 --------- d-------- C:\Archivos de programa\Total Video Converter
2007-07-24 10:15 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Help
2007-07-24 10:15 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Help
2007-07-22 23:19 --------- d-------- C:\Archivos de programa\PS Hot Launch VVL
2007-07-21 20:27 --------- d-------- C:\Archivos de programa\HT Video Editor 6.1
2007-07-17 19:09 --------- d-------- C:\Archivos de programa\VirtualDJ
2007-07-15 16:54 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\BSplayer Pro
2007-07-15 16:54 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\BSplayer Pro
2007-07-15 15:09 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Messenger Plus!
2007-07-13 01:30 765952 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-12 23:30 --------- d-------- C:\Archivos de programa\Game Accelerator
2007-07-12 20:58 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Lavasoft
2007-07-12 20:58 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Lavasoft
2007-07-09 13:55 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-07-07 22:24 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Ahead
2007-07-07 22:24 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Ahead
2007-07-07 21:48 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Trymedia
2007-07-05 23:32 --------- d-------- C:\Archivos de programa\softnyx
2007-07-04 11:47 --------- d-------- C:\Archivos de programa\Winamp Voice Control
2007-07-04 10:26 --------- d-------- C:\Archivos de programa\Runtime Software
2007-07-03 22:20 --------- d-------- C:\Archivos de programa\Canon
2007-07-03 20:29 --------- d-------- C:\Archivos de programa\Windows NT
2007-07-03 20:29 --------- d-------- C:\Archivos de programa\msn gaming zone
2007-07-03 20:29 --------- d-------- C:\Archivos de programa\microsoft frontpage
2007-07-02 23:42 413756 --a------ C:\WINDOWS\system32\dijpg.dll
2007-07-02 23:27 --------- d-------- C:\Archivos de programa\Rico Software
2007-07-02 13:40 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Windows Genuine Advantage
2007-07-01 23:19 2426 --a------ C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore. bin
2007-07-01 23:18 8972 --a------ C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
2007-07-01 22:02 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\ACD Systems
2007-07-01 22:02 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\ACD Systems
2007-07-01 21:59 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\ACD Systems
2007-07-01 10:17 --------- d-------- C:\Archivos de programa\PhotoFiltre Studio
2007-07-01 10:06 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Media Player Classic
2007-07-01 10:06 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Media Player Classic
2007-07-01 01:30 --------- d-------- C:\Archivos de programa\Ares
2007-07-01 01:15 --------- d-------- C:\Archivos de programa\uTorrent
2007-07-01 00:56 --------- d-------- C:\Archivos de programa\Archivos comunes\SpeechEngines
2007-07-01 00:56 --------- d-------- C:\Archivos de programa\Archivos comunes\ODBC
2007-07-01 00:45 --------- d-------- C:\Archivos de programa\VIA
2007-07-01 00:45 --------- d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2007-07-01 00:39 --------- d-------- C:\Archivos de programa\S3
2007-07-01 00:37 --------- d-------- C:\Archivos de programa\Realtek AC97
2007-07-01 00:28 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Talkback
2007-07-01 00:28 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Talkback
2007-07-01 00:26 --------- d-------- C:\Archivos de programa\Thomson
2007-07-01 00:18 --------- d-------- C:\Archivos de programa\Winamp
2007-07-01 00:17 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\TuneUp Software
2007-07-01 00:17 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\TuneUp Software
2007-07-01 00:16 --------- d-------- C:\Archivos de programa\Windows Media Connect 2
2007-07-01 00:15 --------- d-------- C:\Archivos de programa\Microsoft Works
2007-07-01 00:14 --------- d-------- C:\Archivos de programa\Microsoft.NET
2007-07-01 00:13 274432 --a------ C:\WINDOWS\system32\imon.dll
2007-07-01 00:13 --------- d-------- C:\Archivos de programa\Nero
2007-07-01 00:13 --------- d-------- C:\Archivos de programa\Archivos comunes\Ahead
2007-07-01 00:12 --------- d-------- C:\Archivos de programa\MSN Messenger
2007-07-01 00:12 --------- d-------- C:\Archivos de programa\K-Lite Codec Pack
2007-07-01 00:11 --------- d-------- C:\Archivos de programa\Webteh
2007-07-01 00:11 --------- d-------- C:\Archivos de programa\DVD Shrink
2007-07-01 00:11 --------- d-------- C:\Archivos de programa\DAMN NFO Viewer
2007-07-01 00:11 --------- d-------- C:\Archivos de programa\CCleaner
2007-07-01 00:11 --------- d-------- C:\Archivos de programa\Alcohol Soft
2007-07-01 00:10 --------- d-------- C:\Archivos de programa\Lavasoft
2007-07-01 00:04 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-07-01 00:04 0 -rahs---- C:\MSDOS.SYS
2007-07-01 00:04 0 -rahs---- C:\IO.SYS
2007-07-01 00:04 0 --a------ C:\CONFIG.SYS
2007-07-01 00:04 0 --a------ C:\AUTOEXEC.BAT
2007-07-01 00:04 --------- d--h----- C:\Archivos de programa\WindowsUpdate


Reg Loading Points


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"AWMON"="C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" [2005-05-25 12:12]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\runonce]
"nltide3"=cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoResolveSearch"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
"C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameXL]


R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotc ore3.sys
R1 BIOS;BIOS;\??\C:\WINDOWS\system32\drivers\BIOS.sys
R3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter WebClient LmHosts upnphost SSDPSRV

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-08-24 15:15:39 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job - C:\Archivos de programa\TuneUp Utilities 2006\SystemOptimizer.exe
2007-08-25 10:50:13 C:\WINDOWS\Tasks\PS Hot Launch VVL.job - C:\ARCHIV~1\PSHOTL~1\PSHOTL~1.EXE

************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-25 12:59:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Completion time: 2007-08-25 13:00:31
C:\ComboFix-quarantined-files.txt ... 2007-08-25 13:00

--- E O F ---
ComboFix Quarantine
Cita:
Código:
2007-08-18 14:24      838    --a------    C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\DATOSD~1\Microsoft\Internet Explorer\Quick Launch\INTERN~1.LNK.vir


Listado de rutas de carpetas
El n£mero de serie del volumen es 5CB2-E16C
C:\QOOBOX
\---Quarantine
    +---C
    |   \---DOCUME~1
    |       \---ADMINI~1
    |           \---DATOSD~1
    |               \---Microsoft
    |                   \---Internet Explorer
    |                       \---Quick Launch
    |                               INTERN~1.LNK.vir
    |                               
    \---Registry_backups

PandaScan
Cita:
Incident Status Location

Virus:Generic Malware Disinfected
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\WDK9S5QR\Pinnacle_Keygen[1].exe
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \Cache\C2152591d01[nircmd.exe]
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Administrador\Cookies\administrador@bs.se rving-sys[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Administrador\Cookies\administrador@servi ng-sys[1].txt
Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies-1.txt[.terra.com.br/]
Spyware:Cookie/FastClick Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies.txt[.fastclick.net/]
Spyware:Cookie/Statcounter Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies.txt[.statcounter.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies.txt[.statcounter.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\lbas129t.default \cookies.txt[.tribalfusion.com/]
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe[nircmd.exe]
Virus:Generic Malware Disinfected C:\Documents and Settings\Administrador\Mis documentos\Descargas\Design Project\Pinnacle_Keygen.exe
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\nircmd.exe
Última edición por Transgenic fecha: 25/08/07 a las 15:56:19.
  post #8  
Antiguo 25/08/07, 16:38:38
Avatar de Kirigi
Warrior
  
Registrado: jun 2007
Ubicación: Venezuela- Vargas- La Guaira
Mensajes: 6.544
Re: Lnk/Acespades.A (Virus)
Hola elimina el combo fix incluyendo la carpeta de cuarentena y ejecuta el ccleaner nuevamente para eliminar los cookies... Aun sigues con problemas??
  post #9  
Antiguo 25/08/07, 17:09:21
Avatar de Transgenic
Usuario
  
Registrado: jun 2007
Ubicación: Chile
Mensajes: 28
Contactar con Transgenic a través de MSN
Re: Lnk/Acespades.A (Virus)
Hize todo eso, pero sigo con muchos problemas...

Los iconos del area de notificacion que antes tenia no salen en su gran mayoria, solo estan de los programas que manipule ultimamente... tampoco esta el de conexion a internet y no me puedo desconectar por mas que intento desde donde estan las conexion de internet.

como estos pueden ver si se inician con windows o no en "msconfig" intente ingresar pero me decia que tenia que elegir un programa para ejecutarlo. Los archivos .reg no se veian con su icono y cuando se le hacia dobleclick nuevamente me preguntaba con q programa ejecutarlo, y cuando elegi el editor de registros y acepte: todos los .LNK volvieron como era de un principio y ninguno lleva al programa correpondiente.

Antes, la vez que ocupe el linkfilerestore.reg se recuperaron todos los link, pero despues de un rato volvieron a como estan nuevamente. sin rutas.

No se que hacer :(

Y si respaldo mis archivos?
se contagiara en otro SO?
por lo que entendi el virus solo se propaga en los .lnk
  post #10  
Antiguo 25/08/07, 17:19:10
Avatar de Kirigi
Warrior
  
Registrado: jun 2007
Ubicación: Venezuela- Vargas- La Guaira
Mensajes: 6.544
Re: Lnk/Acespades.A (Virus)
Hola

Apaga Restaurar Sistema y lo dejas asi

Para reparar problemas de archivos ejecutables:

XP Exe Fix

Para reparar la asociación de archivos:

XP File Asocc

Tambien vuelve a usar LNK

Tambien has lo siguiente

entra a inicio-ejecutar y escribe regedit ahora entra a estas claves:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Run

*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run

una vez en ellas revisa los datos que en el panel derecho se muestran y dinos cuales son..
seria mucho mejor si realizas una captura de imagen del panel derecho de cada clave y nos colocas la imagen.
¿Cómo subir imágenes al Foro? *TUTORIAL*
Última edición por Kirigi fecha: 25/08/07 a las 17:23:27.
Tema Cerrado
Página 1 de 3 1 23

« Tema Anterior | Próximo Tema »
Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes
BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está desactivado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Ventanas Emergentes...(Solucionado) susanaoria10 Temas Solucionados 6 14/07/07 23:40:36
P2P-Worm.Win32.VB.dw tav Foro de Virus y Spywares 5 20/01/07 14:01:29
Zulú, virus made in Argentina (entrevista a fondo) skiavi Off-Topic 6 16/12/06 04:15:56
problema con el vroomsearch dasanlos Foro Oficial de HijackThis en español 5 05/05/05 12:31:01




Todas las horas son GMT -4. La hora es 10:19:39.

Sobre Infospyware - Contáctanos - Políticas del Foro - Staff - Archivo - Blog  

Powered by: InfoSpyware, Versión 3.8.4
Copyright © 2004 - 2009, ForoSpyware.com
© Copyright 2005 - 2009 InfoSpyware ® Todos los derechos reservados.
InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31