Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Acabo de cambiar de antivirus. El kaspersky ha detectado este virus pero no se puede borrar: Lo detecta, lo elimina y vuelve a aparecer en otro lado y así una tras otra. No puedo ver los archivos ocultos ni tampoco iniciar de modo seguro. Puedo, desde el sistema ver dos archivos ocultos: juok3st.bat y autorun.inf; hago lo posible para borrarlos pero vuleven a aparecer. ¿Qué puedo hacer?

No sé si este es el foro adecuado. Les prometo tomarme el tiempo para leer la información. Soy nuevo en este sitio y, como muchos, he llegado hasta ustedes cuando ya tenemos el problema encima. Espero me tengan un poco de paciencia pues tampoco soy bueno en computadoras.

hola y bienvenido al foro
Descarga el SUPERantispyware y realiza un escaneo profundo de tu equipo eliminando lo que encuentre.
luego realiza lo siguiente:

• Descarga la herramienta ComboFix.
• Has doble click en el archivo combofix.exe y sigue los avisos, es IMPORTANTE que para que trabaje correctamente no utilices ninguna otra aplicacion mientras él analiza.
• Cuando termine este generara un reporte el cual debes pegar aqui.
• Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

nos dejas el reporte del CF.

he descargado el superantispywere y ha repasado. Eliminó varias cosas. En cuanto terminaba el kaspersky chilló y un virus fue muerto. Pero no todo es miel sobre hojuelas. Sigo sin poder ver los archivos ocultos y no se puede iniciar en modo seguro aunque ya bajé el parche y luego intente con el superanti... hacer la recuperación del registro pero nada. Desde el sistema renombré el juok3st.bat e inmediatamente el kasper.... detecto el virus y lo eliminó.
Procedo a descargar el combo fix y te aviso qué pasa. Mil gracias de antemano...

va el reporte:

ComboFix 08-01-17.3 - HP_Propietario 2008-01-16 21:00:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.1395 [GMT -6:00]
Se ejecuta desde: C:\Archivos de programa\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Archivos de programa\FunWebProducts
C:\Archivos de programa\FunWebProducts\PopSwatr\History\allowed
C:\Archivos de programa\FunWebProducts\PopSwatr\History\notallow
C:\Archivos de programa\FunWebProducts\ScreenSaver\Images\0043AA92.urr
C:\Archivos de programa\FunWebProducts\Shared\0078BDF9.dat
C:\Archivos de programa\FunWebProducts\Shared\00816907.dat
C:\Archivos de programa\MyWebSearch
C:\Archivos de programa\MyWebSearch\bar\History\search2
C:\Archivos de programa\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Archivos de programa\MyWebSearch\bar\Settings\s_pid.dat
C:\Archivos de programa\MyWebSearch\bar\Settings\setting2.htm
C:\Archivos de programa\MyWebSearch\bar\Settings\setting2.htm.bak
C:\Archivos de programa\MyWebSearch\bar\Settings\settings.dat
C:\Archivos de programa\MyWebSearch\bar\Settings\settings.dat.bak
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\dauilz.dat
C:\WINDOWS\system32\dauilz_nav.dat
C:\WINDOWS\system32\dauilz_navps.dat
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\tmlpcert2007

.
(((((((((((((((((( Archivos creados desde 2007-12-17 - 2008-01-17 )))))))))))))))))))))))))))))))))
.

2008-01-16 20:58 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-16 20:49 . 2008-01-16 20:49 1,551,923 --a------ C:\Archivos de programa\ComboFix.exe
2008-01-16 19:10 . 2008-01-16 19:10 <DIR> d-------- C:\Documents and Settings\HP_Propietario\Datos de programa\SUPERAntiSpyware.com
2008-01-16 19:10 . 2008-01-16 19:10 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-01-16 19:10 . 2008-01-16 19:12 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-01-16 19:07 . 2008-01-16 19:07 5,914,648 --a------ C:\Archivos de programa\SUPERAntiSpyware.exe
2008-01-16 14:37 . 2008-01-16 14:37 812,344 --a------ C:\Archivos de programa\HJTInstall.exe
2008-01-15 23:33 . 2008-01-15 23:33 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-15 23:33 . 2008-01-15 23:33 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-15 23:30 . 2008-01-16 20:24 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-01-15 23:30 . 2008-01-15 23:30 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-01-15 23:30 . 2008-01-16 21:13 7,555,104 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-15 23:30 . 2008-01-16 19:53 105,620 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-15 23:30 . 2008-01-16 21:13 14,112 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-15 23:30 . 2008-01-16 19:53 3,128 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-15 23:28 . 2008-01-15 23:28 <DIR> d-------- C:\kav
2008-01-15 23:26 . 2008-01-15 23:26 29,409,880 --a------ C:\Archivos de programa\kav7.0.1.321en.exe
2007-12-30 15:44 . 2007-12-30 15:45 38 --a------ C:\WINDOWS\avisplitter.INI
2007-12-25 20:06 . 2008-01-15 14:04 116 --a------ C:\WINDOWS\NeroDigital.ini
2007-12-25 19:46 . 2007-12-25 19:46 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Nero
2007-12-25 19:46 . 2007-12-25 19:46 <DIR> d-------- C:\Archivos de programa\Nero
2007-12-21 20:29 . 2006-09-24 16:11 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2007-12-18 00:44 . 2007-12-18 00:44 219,664 --a------ C:\WINDOWS\system32\klogon.dll
2007-12-18 00:43 . 2007-12-18 00:43 23,396 --a------ C:\WINDOWS\system32\drivers\klopp.dat

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-17 01:09 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-17 00:26 --------- d-----w C:\Archivos de programa\eMule
2008-01-16 20:39 --------- d-----w C:\Archivos de programa\Trend Micro
2008-01-14 01:32 --------- d-----w C:\Archivos de programa\Asistente Prodigy
2007-12-26 19:40 --------- d-----w C:\Documents and Settings\HP_Propietario\Datos de programa\Ahead
2007-12-26 02:36 --------- d-----w C:\Archivos de programa\Pinnacle
2007-12-26 02:34 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-26 02:29 --------- d-----w C:\Archivos de programa\Cooledit
2007-12-26 01:48 --------- d-----w C:\Archivos de programa\Archivos comunes\Ahead
2007-12-26 01:37 --------- d-----w C:\Archivos de programa\Ahead
2007-12-22 03:03 --------- d-----w C:\Archivos de programa\K-Lite Codec Pack
2007-12-21 02:39 --------- d-----w C:\Archivos de programa\Winamp
2007-12-13 19:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
2007-12-12 02:13 --------- d-----w C:\Documents and Settings\HP_Propietario\Datos de programa\Media Player Classic
2007-11-19 18:11 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2007-11-19 18:08 --------- d-----w C:\Archivos de programa\Archivos comunes\Control Panels
2007-11-19 18:05 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\ALM
2007-11-19 17:12 --------- d-----w C:\Archivos de programa\Bonjour
2007-11-19 17:05 --------- d-----w C:\Archivos de programa\Archivos comunes\Macrovision Shared
2007-11-19 02:09 --------- d-----w C:\Archivos de programa\Corel
2007-11-19 01:55 --------- d-----w C:\Documents and Settings\HP_Propietario\Datos de programa\Corel
2007-11-18 22:23 --------- d-----w C:\Archivos de programa\Archivos comunes\Macromedia
2007-10-19 02:29 249,856 ------w C:\WINDOWS\Setup1.exe
2007-10-19 02:28 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2006-06-09 14:51 674 ----a-w C:\Documents and Settings\HP_Propietario\Datos de programa\wklnhst.dat
2005-05-12 05:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"E06EDXRC_30503625"="C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.exe" [2005-06-04 10:03 301776]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 22:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-04-04 07:03 68856]
"Yahoo! Pager"="C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" [2007-03-27 14:22 4670968]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-14 11:51 14864384 C:\WINDOWS\RTHDCPL.EXE]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2007-12-20 09:16 37376]
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-03-29 22:14 624248]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-04-04 21:05 344064]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

C:\Documents and Settings\Invitado\Men£ Inicio\Programas\Inicio\
Pin.lnk - C:\hp\bin\CLOAKER.EXE [2006-01-05 10:30:00]

C:\Documents and Settings\p£blico\Men£ Inicio\Programas\Inicio\
Pin.lnk - C:\hp\bin\CLOAKER.EXE [2006-01-05 10:30:00]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
Inicio r*pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
Schedule TV.lnk - C:\Archivos de programa\gadmei\TV Plus 3.0\TVR 2.0\scheduleTV.exe [2007-02-22 21:29:31]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

R2 Programador de LiveUpdate automático;Programador de LiveUpdate automático;"C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 07:45]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

*Newly Created Service* - PROCEXP90
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 21:13:47
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-01-16 21:15:34
ComboFix-quarantined-files.txt 2008-01-17 03:15:28



¿Qué le pasa a mi computadora, Dr? ¿vivirá?

combofix elimino la infeccion y el reporte esta limpio realiza lo siguiente:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

indicame como continua el problema?

Bravo, maestro

Parece que se ha eliminado el problema. Ya puedo ver los archivos ocultos. No he reiniciado pero ahora lo haré.

Una pregunta más: Para limpiar mis usb´s, las cuales también están contaminadas ¿qué es lo más recomendable? en ellas, creo, fue que traje este virus. cuando revisé los atributos ahí estaban los desgraciados autorun y juok3st. ¿si las meto y les paso el antivirus se limpiarán a van a volver a infectar mi computadora?

Nuevamente te expreso mi agradecimiento y eterna gratitud

conecta la memoria al equipo y luego ejecuta el flashdesinfector

seguidamente te recomiendo realices un scan online en estas paginas:
Manual de Kaspersky Online Scanner
Manual de Ewido Scanner Online

antes de realizar los pasos realiza lo siguiente:
PD: todo realizalo con la memoria USB conectada al equipo y no la extraigas hasta que te lo indique para aegurarnos de que se haya eliminado todo. colocas aqui los reportes de los scan onlines para revisarlos..

Gran gurú Kenny:

He revisado las flash y al entrar el kaspers... detecto y luego eliminó algunas ratas. Luego con el flashdesin... le pasé y listo.

Luego les volví a pasar el kasper... y ya no salió nada. entre al símbolo de sistema miré los atributos y ahí tenían un archivo oculto: el maldito juok3st.bat y que me lo amuelo. Lo curioso es que el antivirus no lo detectaba como malo cuando en la pc fue eliminado una y otra vez.

La cosa es que ten como 10 usb y a todas les pasé y repasé lo antes dicho.

Dime ¿aún es necesario hacer el scaneo on-line? la verdad me da mucha flojera seguir los pasos de instalación y etc... ¿No es suficiente con pasarle el scaner de la versión de prueba del kasperky que ya tengo?

Aun así. Ya me debo marchar a la cama. Llevo todo el día dándole al asunto y ya estoy cansado.
Te leo mañana y espero que la pases bien.

Nuevamente, te agradezco tu ayuda y consejo.

Buenas noches

no es completamente necesario, pero si las memorias las conectaste en tu equipo mientras este estaba infectado lo mas probable es que las memorias estan infectadas tambien..

con ejecutar el FlashDesinfector seria suficiente para limpiar los USB ya que este elimina en su mayoria los malwares mas comunes que se transmiten por este medio, pero si por mala suerte estas infectado con una nueva variante esto solo lo reconoceria el analisis de heuristica o en las firmas de un antivirus..

los scan onlines es la manera mas practica de detectarlos debido a que no instalas el antivirus en tu equipo..

pero bueno como ya tienes el equipo limpio lo que debes tener es especial cuidado al introducir una memoria en tu equipo, debes analizarla primero con el antivirus para luego abrirla y debes mantener un antivirus residente en memoria, en tu caso el kaspersky (ya que dices que tienes la version trial)..

si no tienes alguna otra duda indicame para dar el tema por solucionado

PD: eso de Guru estubo un poco exagerado

Mi estimado Zen Sei:

Podemos dar por concluido este asunto. Sòlo una cosa màs.
Tengo dos laptops, las cuales seguramente estaràn infectadas. Les harè los pasos que me has indicado y luego abro otra discusiòn y ojalà pudieras darme tu opiniòn. Pero eso serà para el fin de semana.

Mil, mil gracias por tu ayuda my master.