INFECTADO con ad.yieldmanager.com !!!

Hola noeljarod

Intenta realizando lo siguiente:

Descarga las siguientes herramientas:

• SUPERAntispyware [Manual]
  
• Ccleaner + Manual

Ejecuta el SuperAntispyware y elimina todo lo que te encuentre
Usa el Ccleaner para limpiar el sistema,primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


Realiza un escaneo online con:

Panda Active Scan Manual
Kaspersky ---Manual (nos pegas el reporte completo para analizarlo)


Regresa y comentanos como te fue



Andresmix

Aqui esta el reporte de KASPERSKY

file:///C:/Documents%20and%20Settings/Noel%20Rodriguez/Escritorio/Kaspersky%20report%2019dic07.html



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, December 19, 2007 10:21:27 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 19/12/2007
Kaspersky Anti-Virus database records: 489520
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 152991
Number of viruses found: 3
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 01:39:06

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alcohol 120\StarWind\logs\sw_ae-20071219-171034.log Object is locked skipped
C:\Archivos de programa\Panda Antivirus 2008\65d021e60e7aefe4091ec4e17fd653ccPSK_NAMES Object is locked skipped
C:\Archivos de programa\Panda Antivirus 2008\65d021e60e7aefe4091ec4e17fd653ccPSK_NAMES2 Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Noel Rodriguez\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\explorer.exe Infected: Worm.Win32.Huhk.c skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped
C:\WINDOWS\system32\config\OSession.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\dllcache\explorer.exe Infected: Worm.Win32.Huhk.c skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\SOFTWARE DESCARGADO\CUSTOMIZAR Windows\THEMES & SKINS\SKINS Windowblinds\NOVUM OS 1.6\Logoff Button Patch\Toggle Logoff Buttons.exe/WISE0004.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\SOFTWARE DESCARGADO\CUSTOMIZAR Windows\THEMES & SKINS\SKINS Windowblinds\NOVUM OS 1.6\Logoff Button Patch\Toggle Logoff Buttons.exe WiseSFX: infected - 1 skipped
D:\SOFTWARE DESCARGADO\Utilidades CD & DVD\Nero 8.1.1.4 multilenguaje\Nero-8.1.1.4_all_trial.exe/Toolbar.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm skipped
D:\SOFTWARE DESCARGADO\Utilidades CD & DVD\Nero 8.1.1.4 multilenguaje\Nero-8.1.1.4_all_trial.exe 7-Zip: infected - 1 skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.


Segun el reporte final me aparecuian 3 virus y 6 objetos infectados pero en el log veo muuuchos!!!!


PD: Ya pase el superantyspyware y no detecto nada!

Hola noeljarod


Realiza lo siguiente:
Apaga Restaurar Sistema
Activa la Opcion Ver Archivos Ocultos

Descargate OTMoveIt lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\dllcache\explorer.exe
D:\SOFTWARE DESCARGADO\CUSTOMIZAR Windows\THEMES & SKINS\SKINS Windowblinds\NOVUM OS 1.6\Logoff Button Patch\Toggle Logoff Buttons.exe
D:\SOFTWARE DESCARGADO\Utilidades CD & DVD\Nero 8.1.1.4 multilenguaje\Nero-8.1.1.4_all_trial.exe

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic enExit.
• Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.


Limpia el Pc de cookies, temporales, etc y el registro con :

DiskCleaner >>> Manual
RegSeeker. >>> Manual

Al final de todo esto, Reinicias el Pc, Prende Restuarar Sistema, Reinicias Nuevamente...

Realiza otro scan con Kaspersky y vuelves a pegar el reporte

Regresa y nos comentas como sigue tu pc?? sigues teniendo problemas??



Andresmix

Perdon por mi ignorancia pero es solo curiosidad y miedo, esque veo que ese programa que dices (supongo por logica no se) mueve los archivos seleccionados , pero no es peligroso mover el explorer.exe?????? solo es porque si lo hago y luego no puedo ni entrar ahí si que estaria fregado no crees?
Por favor respondeme a la brevedad para seguir tus pasos

Gracias


EDITO: Justo como lo pense despues de reiniciar no podia ver nda mas que mi wallpaper, por suerte con el administrador de tareas lo busque el Explrer.exe y desde la capeta del OT lo ejecute, amigo no es por nada pero ten mas cuidado con esos consejos que si alguien que no sabe nada de nada se podria fregar para siempre ufff!! no es un reclamo pero ahora que hago???? restauro el explorer.exe a donde estaba?? , y ademas porque hay dos explorer.exe, creo que el que se supone debe existir es el que esta en C:\WINDOWS, pero y el otro que esta en esa tal carpeta dll cahe o como sea que es ????? Ayuda URGENTE que hago ?

EDITO 2: aqui el log del OT Moveit:

C:\WINDOWS\explorer.exe moved successfully.
C:\WINDOWS\system32\dllcache\explorer.exe moved successfully.
D:\SOFTWARE DESCARGADO\Utilidades CD & DVD\Nero 8.1.1.4 multilenguaje\Nero-8.1.1.4_all_trial.exe moved successfully.

Created on 12/20/2007 12:33:02

El otro archivo lo elimine con la opcion paranoica de AVG antyspyware por eso no sale!

Hola noeljarod

BIen si restauraste el archivo explorer.exe, ahora realiza un nuevo scan con:

Panda Active Scan Manual

Nos pegas el reporte que este te genere
Asi salimos de las dudas de si hay o no mas archivos infectados

Ahora bien que problemas mas tienes, si tienes algun otro problema consultanos.



Andresmix

Aqui esta lo que me saco el active scan, sin embargo tengo plena confianza en esos archivos pues se bien de donde los saque, lo extraño es que active scan no detecto nada de lo que kaspersky si!!!

Por cierto el escaneo lo hice en modo a prueba de fallos, mi gran problema sigue siendo esos redireccionamientos y lo lento que se a puesto el internet a veces cuando me redirecciona , incluso me cuesta entrar aquí, ojala me puedan ayudar.


Incidencia Estado Elemento

Virus:Generic Malware No desinfectado D:\SOFTWARE DESCARGADO\DISEÑO, VISUALIZACIÓN, Y ARQUITECTURA\Sketchup Pro 6.0.1099\Crack Sketchup 6\gsutexas.rar[GSUP60515\Keygen.exe]
Posible Virus. No desinfectado D:\SOFTWARE DESCARGADO\UTILIDADES\RobarDatosUSB\RobarDatosUSB\Instalar.exe


Edito: me parecio raro que cuando pase el scan en la imgen la barra no se habia completado pero al analizar el reporte se completo por si solo

Hola noeljarod

El reporte de Panda nos muestra dos archivos infectados, pero si tu dices que sabes de donde los conseguiste y sabes que son seguros, pues no hay problema.

BIen para los rediccionamientos puedes leer el siguiente enlace---> Redirecciones en las búsquedas de Internet3

Bien tambien haz lo siguiente:

Descarga ejecuta y actualiza:

SpyBot Search & Destroy 1.5---> Manual

Al ejecutar Spybot asegurate de inmunizar tu sistema

Luego de eso nos comentas



Andresmix

Busque las entradas que me mencionaste con el hijack this y no estban, pase el fixwareout y aqui esta su log:


Username "Noel Rodriguez" - 20/12/2007 23:24:19 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Se vació con éxito la caché de resolución de DNS.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE"
"APVXDWIN"="\"C:\\Archivos de programa\\Panda Antivirus 2008\\APVXDWIN.EXE\" /s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CursorXP"="C:\\Archivos de programa\\Stardock\\CursorXP\\CursorXP.exe"
"SpybotSD TeaTimer"="C:\\Archivos de programa\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Yo se que aqui no se debe poner log de hijack pero segun tu tutorial eso era el paso a seguir asi que aqui lo pongo ojala no me sancionen, ya que esto aparecia que debia publicar

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:42, on 20/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
**EDITADO POR MODERADOR**

Hola noeljarod

Aqui no esta permitido poner log de Hijackthis, bien un moderador lo edito.
Ahora bien necesito que me digas como esta tu pc... si los problemas siguen por favor danos los sintomas que esta presentando ahora.

Por cierto ejecutaste el Spybot?

Si puedes pones una imagen de cuando te redirecciona
: ¿Cómo subir imágenes al Foro? *TUTORIAL*




Andresmix