Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos de Foro.
Instale el Nod32 y en el primer escaneo detecto el Troyano :Win32/trojandoeloader.agent.bls,en muchos archivos del sistema,ademas de una gran variedad de variantes en archivos supuestamente generadas por el mismo.Como si fuera poco se encuentra tambien en la memoria operativa originado por la infeccion de archivo (mrofinu387.exe)y me dice que no puedo eliminarlo,existe alguna solucion,desde ya les agradezco.

Hola bienvenido al foro, realiza estos 11 Pasos (menos el 10), y déjanos el reporte que genere el Antivirus Online del Paso 7.

Te recomiendo que realices los escaneos con:

- Ewido (no olvides darle en la opción REMOVE INFECTIONS) dudas sobre este te lees el manual de ewido

- Kaspersky Online Scanner cualquier duda sobre este último lees su manual y pegas el reporte que te da de resultado.

Nota: Para malware rebeldes no dudes en usar FileASSASSIN.

Regresas y nos comentas.

Saludos

Hola Muchachos!,Ayer deje mi log de en el foro de HijackThis en español pero no puedo encontrar el mensaje ni saber si tiengo una respuesta,de todas maneras no me se aun manejar bien por el foro,mis disculpas.
Por otra parte con el tema de mi problema,es que instale cuanto programa de antivirus me recomendaron e hice los escaneos correspondientes,y asi aun el Spybot S&D sigue reconociendo cambios de entradas y el Nod32 mi antivirus encuentra la amenza win32/adware.virtumonde.aplicacion que no puedo eliminar y con File assasin no encuentro el archivo para eliminar,bueno,no pego el log aqui,porque creo que no se puede asi que sin mas espero me respondan

Hola realiza lo indicado aqui y regresa con los reportes de panda online y vundofix.

Nos comentas.

Saludos

PD Y no habras un nuevo tema en otra parte del foro ya que sera eliminado pues se te esta brindando ayuda por aquí.

LEE LAS POLITICAS DEL FORO

Hola amigos del Foro,Hola Sikartus,bueno realize los pasos que me comentaste,y eliminé bastantes amenzas,lo unico que no pegué aqui los "logs"porque dice que aquí no se permite,donde lo hago?muchas gracias por su ayuda.

Hola regresa con los reportes ya mencionados:

Nos comentas.

Hola Sikartus!,aqui esta el log de Panda
Incidencia Estado Elemento

Herramienta potencialmente no deseada:application/mywebsearch No desinfectado hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}
Herramienta potencialmente no deseada:application/funweb No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Adware:Adware/NaviPromo No desinfectado C:\WINDOWS\SYSTEM32\MUNIDA.EXE
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\PochoDeLira\Configuración local\Temp\NSX943.TMP
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\PochoDeLira\Configuración local\Temp\NSQ5.TMP
Herramienta potencialmente no deseada:Application/BestSellerAV No desinfectado C:\Documents and Settings\VICKY\Configuración local\Temp\~uga6psetup.exe
Spyware:Spyware/Vundo No desinfectado C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[keygen.exe]
Dialer:Dialer.KUM No desinfectado C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[crack.exe]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\VICKY\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \COOKIES.TXT[.ad.yieldmanager.com/]
Herramienta potencialmente no deseada:Application/Processor No desinfectado D:\Malwares\VirtumundoBeGone.exe

-----
DelPSGuard v 4.8.3
by www.ForoSpyware.com
Escaneo a las: 22:32:31,49, 22/11/2007
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32 \migicons.exe ...: ! Eliminado ! :...
C:\WINDOWS\cookies.ini ...: ! Eliminado ! :...

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»



»»»»»»»»»»»» FIN »»»»»»»»»»»»
------------------------------
[11/22/2007, 22:13:57] - VirtumundoBeGone v1.5 ( "D:\Malwares\VirtumundoBeGone.exe" )
[11/22/2007, 22:14:13] - User choose NOT to continue. Exiting...

[11/23/2007, 0:24:54] - VirtumundoBeGone v1.5 ( "D:\Malwares\VirtumundoBeGone.exe" )
[11/23/2007, 0:24:59] - Detected System Information:
[11/23/2007, 0:24:59] - Windows Version: 5.1.2600, Service Pack 2
[11/23/2007, 0:24:59] - Current Username: PochoDeLira (Admin)
[11/23/2007, 0:24:59] - Windows is in SAFE mode with Networking.
[11/23/2007, 0:24:59] - Searching for Browser Helper Objects:
[11/23/2007, 0:24:59] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} ()
[11/23/2007, 0:24:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/23/2007, 0:24:59] - No filename found. Continuing.
[11/23/2007, 0:24:59] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[11/23/2007, 0:24:59] - BHO 3: {C6BC6213-5C2E-4C33-B153-A396E96AD18E} ()
[11/23/2007, 0:24:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/23/2007, 0:24:59] - No filename found. Continuing.
[11/23/2007, 0:24:59] - Finished Searching Browser Helper Objects
[11/23/2007, 0:24:59] - Finishing up...
[11/23/2007, 0:24:59] - Nothing found! Exiting...

bueno el log de vundofix no tengo idea donde lo guardo el programa.
Espero que esto sirva de algo.Muchas gracias.

Hola realiza lo siguiente:

Ve a inicio - panel de control - agregar y quitar programas, buscas y eliminas:

- mywebsearch
- funweb
- Processor
- BestSellerAV

Si es que los encuentras ahí.

Ve a Inicio - ejecutar escribes regedit luego buscas y eliminas lo marcado en rojo:

hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

Activas ver archivos ocultos.

Inicias en modo a prueba de fallos buscas y eliminas:

C:\Documents and Settings\PochoDeLira\Configuración local\Temp\NSX943.TMP

C:\Documents and Settings\PochoDeLira\Configuración local\Temp\NSQ5.TMP

C:\Documents and Settings\VICKY\Configuración local\Temp\~uga6psetup.exe

C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[keygen.exe]

Eliminas lo marcado en rojo y si no puedes usa FileASSASSIN



- Ejecuta ATF-Cleaner

• Dale doble clic a ATF-Cleaner
• Marca la Casilla de "Select All."
• Para eliminar da clic en "Empty Selected"
• Por último, dale clic a Exit

- Ejecuta RegSeeker pásalo hasta que no te salga nada.

Reinicia en modo normal y descarga las siguientes herramientas :

- Brute Force Uninstaller (por Merijn) y descomprimirlo en la carpeta C:\BFU

Dle clic con el botón secundario en esta dirección url : http://metallica.geekstogo.com/EGDACCESS.bfu (script de Pieter Arntz) y selecciona "Guardar como" (Tipo "todos los archivos").
Coloca el archivo EGDACCESS.bfu en la carpeta donde se situa el Brute Force Uninstaller (en C:\BFU).

-Navipromo.zip y descomprime el contenido en el Escritorio

- Reinicia en Modo Seguro (a prueba de fallos)

Haz doble-click al archivo Navipromo.bat que se situa en la carpeta Navipromo, en el escritorio.

• selecciona la opción R : "Recherche et suppression automatique", pulsa la tecla ENTER y espera un poco. Cierra el reporte que va a abrirse.
• cuando es terminado, ejecuta de nuevo la herramienta, pero esta vez selecciona la opción H : "Suppression Heuristique" y pulsa la tecla ENTER. Espera de nuevo un poco, y cierra el reporte que va a abrirse.

Ejecuta la herramienta "Brute Force Uninstaller" : haz doble-click al archivo BFU.exe q se situa en la carpeta C:\BFU. Clic en el ícono de la pequeña carpeta, a la derecha de "Scriptline to execute", y selecciona el archivo : EGDACCESS.bfu

- En el recuadro etiquetado como "Scriptline to execute", debes ahora ver esto:C:\BFU\EGDACCESS.bfu

Dale clic en "Execute" y espera un poco.
Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando "Complete script execution", clic OK.
Repetir otra vez esta operación, después haga clic en Exit para cerrar el programma BFU.

Inicio > Panel de Control > Opciones de Internet
Clic en la pestaña "Contenido", después pestaña "Certificados" y si ves esto, en "Editores aprobados" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> borralos todos

Reinicia el pc en modo normal, pega el reporte que se situa en el archivo C:\Navipromo.txt, luego reslizas un nuevo escaneo con Panda online y también regresas con su reporte.


Regresas y nos cuentas como te fue.

Saludos

Hola Sikartus y amigos del Foro,Ademas de aqui dejar los informes queria comentar que la fila :
"C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[keygen.exe]"
Queria eliminarla pero la carpeta hasta jzdffszu.default todo bien pero la carpeta "Cache"no existe y por ende no pude eliminar nada ahi,si en todo lo demas.Aqui los informes...

Rapport Navipromo.bat 0.73 effectué le 24/11/2007 à 19:18:32,60
C:\Documents and Settings\PochoDeLira\Escritorio
L'opération se déroule en mode sans échec sous le compte "PochoDeLira"

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.73 effectué le 24/11/2007 à 19:18:32,89
L'opération se déroule en mode sans échec sous le compte "PochoDeLira"

## Suppression Heuristique

* Backups :



Aucun résultat par la recherche heuristique

## Fin du rapport Heuristique

-------------

Rapport Navipromo.bat 0.73 effectué le 24/11/2007 à 19:19:40,37
L'opération se déroule en mode sans échec sous le compte "PochoDeLira"

## Suppression Heuristique

* Backups :


Aucun résultat par la recherche heuristique


## Fin du rapport Heuristique

------------------------------------------

Incidencia Estado Elemento

Herramienta potencialmente no deseada:application/funweb No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Adware:Adware/NaviPromo No desinfectado C:\WINDOWS\SYSTEM32\MUNIDA.EXE
Spyware:Spyware/Vundo No desinfectado C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[keygen.exe]
Dialer:Dialer.KUM No desinfectado C:\Documents and Settings\VICKY\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \Cache\0FC303A2d01[crack.exe]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\VICKY\Datos de programa\Mozilla\Firefox\Profiles\jzdffszu.default \COOKIES.TXT[.ad.yieldmanager.com/]
Herramienta potencialmente no deseada:Application/Processor No desinfectado D:\Malwares\VirtumundoBeGone.exe

Hola realiza lo siguiente:

• Descarga Avira Anti Rootkit
  • Ejecuta la herramienta click en "Start Scan" , espera a que termine la busqueda.
  • Al finalizar haces clic en "View report" y pegas el informe que te genera en tu proxima respuesta.

• Descarga Navilog.zip
  • -Instalar la utilidad Navilog
  • -Aceptamos la licencia
  • -Presiona "E"
  • -En la pantalla veras los siguientes textos.

1 - Search
2 - Automatic cleaning
3 - Automatic cleaning without results fron Catchme/GNS scan
4 - Manual removal by typing the adware name
Q - Exit

-Elejiremos la opcion "2" (Automatic Cleaning)
Aparecera la pantalla con la siguiente Leyenda

Save yor documents in use and close all open windows
Your computer will now restart
Your desktop will take longer to appear while the fix is working
If your computer doesn't restart by itself, do not run Navilog1

• - Go to "Start" and click on "Turn off Computer"
• - Then select "Restart" and let your computer restart normally

• -Presiona una tecla para continuar (Cierra todas la ventanas de programas o navegadores que tengas abiertas).Aparecerá la pantalla "Apagar el sistema" y Windows se reiniciará automáticamente.
  • *NOTA: Si Windows no se reiniciara automáticamente, reinícialo manualmente.

-Al reiniciarse el pc , nos saldra una pantalla con lo siguiente :

Complementary Search
(Search specific files)
Please wait...
Registry is cleaned
X archivos copiados

-Espera unos segundos y enseguida saldra un block de notas con el nombre de "cleannavi.txt"
en ese block de notas te describira las acciones tomadas por Navilog1 , ese reporte copialo y pegarlo en tu proxima respuesta.

Descarga The Avenger y lo guardas en el escritorio.

• Dale doble click a avenger.exe del escritorio para ejecutarlo.
• Debajo "Script file to execute" elige "Input Script Manually".
• Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
• Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.

• Nota el código fue creado específicamente para este usuario. Si no eres usuario, NO sigas estas instrucciones, ya que podría dañar tú sistema!

• Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
• Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
• El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.

Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí

Finalmente realiza un escano con el Panda Online , regresas con su reporte.

Regresas con los reportes indicados y nos comentas.

Saludos