hola, bueno tengo una duda, hace poco aparecio ipodfix.exe dentro de mi administrador de tareas , yo no se de donde vino ni como se metio,me gustaria k me aclararan de k se trata esta cosa ya k igual consume una cierta parte de mi pc gracias

Hola, bienvenido al foro de Infospyware.

Lo que tienes en tu PC es un troyano tipo Exploit que aprovecha las vulnerabilidades del sistema para entrar en el PC.

Realiza los soguientes pasos:

- Descargate e instala el Killbox.

-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Reiniciar en Modo Seguro (a prueba de fallos) y elimina los siguientes archivos y/o carpetas usando Killbox:

-Ejecutar KillBox y seleccionar:

• "Delete on reboot" (Eliminar al reiniciar)
• "All Files" (Todos los archivos)

Copiar todos los archivos que se van a eliminar:

C:\WINDOWS\System32\iPodFix.exe

y pegarlo en el marco "Full Path of File to Delete"
Ir a Menú "File" y seleccionar "Paste from Clipboard" para que se agreguen el resto de los archivos.
Hacer clic en el botón con el círculo rojo y blanco X ( "Eliminar Archivo"), espera unos momentos y luego acepta el mensaje que aparecerá (Tu sistema será reiniciado)
Después de reiniciar, se creará un archivo log.txt ubicado en C:\!KillBox\Logs, donde podrás comprobar los resultados.

-Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

-Realiza un escaneo completo del PC con Kaspersky online y pega su nuevo reporte para revisarlo.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

hola, buneo, el killbox elimino el ipodfix, pero ahora aparecio otra cosa llamada lzant.exe, k me da la impresion de k es del mismo tipo k el anterior, bueno, aki te dejo el reporte de kaspersky

KASPERSKY ONLINE SCANNER REPORT
Monday, January 28, 2008 11:24:34 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 28/01/2008
Kaspersky Anti-Virus database records: 499636


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 26112
Number of viruses found 7
Number of infected objects 11
Number of suspicious objects 0
Duration of the scan process 00:22:45

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked skipped

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\mmdmm[1].exe Infected: Backdoor.Win32.IRCBot.bdv skipped

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\mdm.exe Infected: Backdoor.Win32.IRCBot.bdv skipped

C:\WINDOWS\system32\mssysroot.sys Infected: Rootkit.Win32.Agent.l skipped

C:\WINDOWS\system32\Syst3m32.exe Infected: Backdoor.Win32.Rbot.gah skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Debug\oakley.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{87F355 DA-4CA9-4C80-9C0C-4CFF12D0BB08}.bin Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\NTUSER.DAT.LOG Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Configuración local\Historial\History.IE5\MSHist0120080128200801 29\index.dat Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Marcos.CASA-FG7MOKO018\mssysroot.sys Infected: Rootkit.Win32.Agent.l skipped

C:\Documents and Settings\Administrador\Escritorio\SDFix\backups_ol d1\backups.zip/backups/directxpushup.exe Infected: Trojan-Downloader.Win32.Agent.mp skipped

C:\Documents and Settings\Administrador\Escritorio\SDFix\backups_ol d1\backups.zip/backups/explorer.exe Infected: Trojan.Win32.Agent.dcb skipped

C:\Documents and Settings\Administrador\Escritorio\SDFix\backups_ol d1\backups.zip ZIP: infected - 2 skipped

C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip/backups/iPodFix.exe Infected: Net-Worm.Win32.Kolab.y skipped

C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip ZIP: infected - 1 skipped

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked skipped

C:\a.bat Infected: Trojan.WinREG.Zapchast skipped

Scan process completed.

Hola.

Compermiso Master !

*Descarga The Avenger y lo guarads en el escritorio.

• Dale doble click a avenger.exe del escritorio para ejecutarlo.
• Debajo "Script file to execute" elige "Input Script Manually".
• Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
• Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.

• Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
• Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
• El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.

*Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí

Salu2!
Me cuentas !

hola, bueno aki ta el reporte del avenger, eso si cava vez me aparecen mas cosas raras en mi pc no se de donde, como un desktop clock , sistemax32 o syst3m32, bueno aki les dejo le reporte

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\waphktkl

*******************

Script file located at: \??\C:\WINDOWS\System32\jeobydik.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\mmdmm[1].exe for deletion
Deletion of file C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\mmdmm[1].exe failed!

Could not process line:
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\mmdmm[1].exe
Status: 0xc000003a

File C:\WINDOWS\system32\mdm.exe deleted successfully.
File C:\WINDOWS\system32\mssysroot.sys deleted successfully.
File C:\WINDOWS\system32\Syst3m32.exe deleted successfully.
File C:\a.bat deleted successfully.


Folder C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip not found!
Deletion of folder C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip failed!

Could not process line:
C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Hola

Antes que nada decirte eliminos lo que nos mostro el Kaspersky en el reporte , pero como comentas , ahora salieron mas pues tomemos mas medidas , parece que estamos hablando de un Backdoor , el cual segun yo debieron ser eliminados por el SDFix.

Realiza lo siguiente...

• Descargar ATF Cleaner by Atribune
• Haga doble clic en ATF-Cleaner.exe para ejecutar el programa.
• Haga clic en 'Select All' encontró en la parte inferior de la lista.
• Haga clic en el 'Empty Selected'.
• Si utiliza el navegador Firefox y Opera , realize el mismo procedimiento de arriba. (Click , pestaña de FireFox y de Opera.),

Seguido...

• Descarga Sophos Anti-Rootkit, y guárdelo en el escritorio.
• Haga doble clic en sarsfx.exe para extraer los archivos y dejar la configuración por defecto.
• Abra la carpeta C: \ SOPHTEMP y haga doble clic en sargui.exe para iniciar el programa.
• Asegúrese de que se comprueban los siguientes:
  • Ejecución de los procesos
  • Registro de Windows
  • Local de los discos duros
• Haz clic en "Start Scan".
• Haga clic en el botón "OK" después de que reciba la notificación de que ha terminado la búsqueda .
• Ahora ve a inicio / Ejecutar / Escribe o copia lo siguiente : %Temp% , cuando se haya abierto la carpeta Temp , busca el block de Notas con el Nombre de "SARSCAN"
• Copias y pegas aqui el contenido de ese Block de Notas .

Salu2
Me cuentas

hola, bueno, aki ta el reporte , auke me parece k no encontro nada


Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc
Started logging on 29/01/2008 at 17:37:56
Stopped logging on 29/01/2008 at 17:38:56

saludos

Hola.

Shopitos no encontro nada

Entonces por Favor , realiza un escaneo online con el "Panda ActiveScan Online" , copias y pegas aqui el reporte.


salu2!

hola, bueno hice el analisis con panda y me encontro varias cosas, aki te dejo el informe



Incidencia Estado Elemento

Virus:Trj/MailBot.EO Desinfectado C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\YTETMHAN\2f[1].exe
Virus:W32/SDBot.LPJ.worm Desinfectado C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\mmdmm[1].exe
Virus:Trj/MailBot.EO Desinfectado C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\GXEZ67G3\2f[1].exe
Virus:Trj/MailBot.EO Desinfectado C:\WINDOWS\SYSTEM32\helpersssvcs.exe
Virus:Trj/MailBot.EO Desinfectado C:\WINDOWS\SYSTEM32\SSSVCS.EXE
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\WINDOWS\Nircmd.exe
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Mis documentos\David\Descargas\SDFix.exe[SDFix\apps\Process.exe]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Mis documentos\David\Descargas\ComboFix.exe[ComboFix\nircmd.com]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\Marcos.CASA-FG7MOKO018\Mis documentos\David\Descargas\ComboFix.exe[ComboFix\nircmd.cfexe]
Virus:Trj/MailBot.EO Desinfectado C:\Documents and Settings\Marcos.CASA-FG7MOKO018\DASF.EXE
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\APPS\Proce ss.exe
Virus:W32/Sdbot.IPI.worm Desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\backups_ol d1\BACKUPS.ZIP[backups/directxpushup.exe]
Virus:W32/Gaobot.QCX.worm Desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\backups_ol d1\BACKUPS.ZIP[backups/explorer.exe]
Virus:W32/Sdbot.LNB.worm Desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\BACKUPS\BA CKUPS.ZIP[backups/iPodFix.exe]
Virus:W32/SDBot.LPJ.worm Desinfectado C:\AVENGER\BACKUP.ZIP[avenger/mdm.exe]
Hacktool:Rootkit/Fu.A No desinfectado C:\AVENGER\BACKUP.ZIP[avenger/mssysroot.sys]
Virus:W32/Gaobot.QDB.worm Desinfectado C:\AVENGER\BACKUP.ZIP[avenger/Syst3m32.exe]
Virus:Trj/KillAV.FX Desinfectado C:\AVENGER\BACKUP.ZIP[avenger/a.bat]
saludos y gracias

Hola....

El Panda , todo lo que encontro lo elimino de forma arrasante , asi que cuentame como esta la pc ?


salu2!