Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola A tod@s!!

Me ha entrado esta tarde un troyano que me está volviendo loca, salta todo el rato, la alerta de SuperAntySpyware como que me quieren cambiar la página principal, se abre unas 40 veces por minuto, ufff es una pesadilla, avast me ha avisado de que ha detectado Win32:Tibs-ADO [Trj], he ido a windows a prueba de fallos y he pasado superantyspyware, pero aun así después de reiniciar el virus continúa. Qué puedo hacer?

Muchas gracias

hola bienvenida al foro!!
por favor hace lo siguiente:
bajas la herramienta Ccleaner
la ejecutas en su modo limpiador.tambien la ejecutas en su modo registro(SIEMPRE TIENES QUE HACER COPIA DE SEGURIDAD)
escaneo online con Kaspersky online,una vez que termine el escaneo con kaspersky pegas el reporte aqui.
buena suerte...y espero tu respuesta!

Hola Agustin1987!!!

Muchas gracias por contestarme tan rápido, ya he pasado ccleaner y karspersky, aqui te dejo el informe, ya me dirás.


Mil Gracias.



jueves, 21 de febrero de 2008 23:21:26
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 21/02/2008
Registros en la base antivirus: 574778


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\
E:\
G:\

Estadísticas
Número de objeros analizados 50388
Virus encontrados 4
Objetos infectados 4 / 0
Objetos sospechosos 0
Duración del análisis 00:45:14

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\winistr.exe Infectados: not-a-virus:FraudTool.Win32.Reanimator.a saltado

C:\WINDOWS\Temp\Perflib_Perfdata_6c0.dat Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Installer\{ab407740-583c-41da-b550-0dd172339c85}\KernelCheck.dll Infectados: Trojan.Win32.Agent.fhg saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\trashicon.exe Infectados: Trojan.Win32.Inject.vo saltado

C:\WINDOWS\wndsk.dll Infectados: Trojan-Downloader.Win32.Small.iho saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\Cristian\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\hpodvd09.log Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFC41A.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFC447.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFCFAC.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFDE5E.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DF1EFE.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\WCESLog.log Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Historial\History.IE5\MSHist0120080221200802 22\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\G8530WO3\mando[1].htm Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\anaalegre4x4@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Cristian\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Datos de programa\$_hpcst$.hpc Object is locked saltado

C:\Documents and Settings\Cristian\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado

C:\Documents and Settings\Cristian\ntuser.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado

C:\System Volume Information\_restore{57780231-41C1-4421-AA47-2FC634A6ACCF}\RP1\change.log Object is locked saltado

D:\System Volume Information\_restore{57780231-41C1-4421-AA47-2FC634A6ACCF}\RP1\change.log Object is locked saltado

Análisis completado.

hola para eliminar esos virus vamos a hacer lo siguiente:
La forma segura de eliminar para que no vuelvan a aparecer es:
bajar la herramienta FileASSASSIN www.forospyware.com/298547-post10.html de aqui,tambien la herramienta dr.WEB aqui el link:www.forospyware.com/t93472.html (todavia no ejecutes ninguna)
apagar reastaurar sistema aqui el link para saber como se hace:www.forospyware.com/292280-post2.html.
activar ver archivos ocultos www.forospyware.com/t13.html
buscar y eliminar con FileASSASSIN
C:\WINDOWS\system32\winistr.exe
C:\WINDOWS\Installer\{ab407740-583c-41da-b550-0dd172339c85}\KernelCheck.dll
C:\WINDOWS\trashicon.exe
C:\WINDOWS\wndsk.dll
ejecutar el ccleaner
ejecutas el dr.web y eliminas todo lo que encuentre.
nuevo analisis con kaspersky online( COMPLETO POR FAVOR Y ANALIZA MI PC),y nos pegas aqui el reporte que te genere.
desactivar las opciones activadas en el punto y

Hola Agustin!!

Mira he hecho todos los pasos que me has dicho, pero el paso de Dr. Web no lo puedo hacer, cuando me encuentra algún archivo infectado y le doy a reparar, el ordenador se cuelga y me da pantallazo azul y me da error de software.

QUé hago ahora??

hola
es muy raro lo que me decis.
desinstalarlo y volves a instalar el programa nuevamente.
ejecutalo en modo a prueba de fallos.
si asi y todo no puedes,hace el reporte de kaspersky online como te indique y pegalo aqui.

Hola!!

Dr. Web sigue dando pantallazo azul, te pongo el informe de errores queha creado al reiniciar:


Problema provocado por Device Driver

Este mensaje ha aparecido porque un controlador de dispositivo instalado en el equipo provocó que el sistema operativo Windows se detuviese inesperadamente. Este tipo de error se conoce como "error de detención". Ante un error de detención es necesario reiniciar el equipo.

Más información

--------------------------------------------------------------------------------


Resumen del informe de problemas

Tipo de problema
Error de detención de Windows (aparece un mensaje en una pantalla azul con información de código de error)

¿Hay alguna solución disponible?
No

¿Qué indica este problema?
Windows ha detectado un problema del que no se puede recuperar y debe reiniciarse.

Causa
Desconocida

Síntomas en el equipo
Aparece un mensaje en una pantalla azul con información de código de error (por ejemplo: 0x0000001E, KMODE_EXCEPTION_NOT_HANDLED)

Pasos adicionales que debe seguir el usuario
Siga enviando informes de problemas para que los analistas de Microsoft puedan estudiarlos e intentar corregirlos a la mayor brevedad posible.

Aquí te dejo el informe del karspersky:


domingo, 24 de febrero de 2008 21:59:58
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 24/02/2008
Registros en la base antivirus: 578541


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\
E:\
G:\

Estadísticas
Número de objeros analizados 52767
Virus encontrados 2
Objetos infectados 3 / 0
Objetos sospechosos 0
Duración del análisis 00:44:23

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\users32.dat Infectados: not-a-virus:AdWare.Win32.Agent.zo saltado

C:\WINDOWS\system32\winistr.exe Infectados: not-a-virus:FraudTool.Win32.Reanimator.a saltado

C:\WINDOWS\Temp\Perflib_Perfdata_75c.dat Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{A55A15 B0-D079-47D1-A5F3-CB09091300CD}.bin Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\Cristian\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\hpodvd09.log Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFB63.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFAFC3.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFBA0E.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFD9E3.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DFDB67.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\~DF5DEC.tmp Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Temp\WCESLog.log Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Historial\History.IE5\MSHist0120080224200802 25\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\B6HZE7L4\Installer2[1].exe Infectados: not-a-virus:FraudTool.Win32.Reanimator.a saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\Z6RSWYAO\mando[2].htm Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\anaalegre4x4@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Cristian\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\anaalegre4x4@hotmail.com\shadow\members.s tg Object is locked saltado

C:\Documents and Settings\Cristian\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Cristian\Datos de programa\$_hpcst$.hpc Object is locked saltado

C:\Documents and Settings\Cristian\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado

C:\Documents and Settings\Cristian\ntuser.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado

Análisis completado.


Ya me dirás.

Salu2

hola,bueno.....ya buscare solucion para ese problema con el dr.web que tienes.
mientras tanto vamos a seguir eliminando las infecciones que aparecen en kaspersky:
apagar reastaurar sistema.
activar ver archivos ocultos
buscar y eliminar con FileASSASSIN
C:\WINDOWS\system32\users32.dat
C:\WINDOWS\system32\winistr.exe
C:\Documents and Settings\Cristian\Configuración local\Archivos temporales de Internet\Content.IE5\B6HZE7L4\Installer2[1].exe

ve a inicio,ejecutar,escribe %tem& y borras todo lo que encuentres ahi adentro(nota:no borres la carpeta en si,sino su contenido)
ejecutar el ccleaner,en sus dos opciones(hace copia de seguridad)
nuevo analisis con kaspersky online,y nos pegas aqui el reporte que te genere.
desactivar las opciones activadas en el punto y

bueno aqui tengo la solucion para e l problema de Dr.Web,
una vez que hayas hecho los pasos indicados anteriormente,vamos a hacer lo siguiente:
vas a ejecutar Gmer anti rootkit, o AVG Antirootkit.asi eliminamos lo que esta impidiendo que se ejecute el dr.web
tambien vas a ejecutar Malwarebytes Anti Malware
luego de que con eso hayas eliminados las infecciones y problemas detectados,vas a reiniciar tu pc,e intentar nuevamente ejecutar el DR.WEB
vuelves y nos comentas como sigue tu pc!

Hola Agustin!!

Te cuento, de los 3 archivos que me decías que borrase con FileASSASSIN el último ha sido imposible encontrarlo, la carpeta en la que se supone que está, está vacía, tengo activado lo de mostrar archivos ocultos. Luego, cuando le doy a ejecutar %tem&, no lo encuentra, así que no he podido borrar nada que contenga, y tampoco me funcionan los links que pusiste con los programas a usar para ayudar a Dr. Web, así que en principio no he pasado Karspersky, porque de momento tampoco he variado nada, excepto los 2 archivos que sí he podido eliminar.

Cómo sigo?

Salu2