Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno primero que presentarme soy Rodrigo y agradecerles dese ya su atencion
Hace poco me compre un ordenador, y para malas mias me he pescado un virus bastante duro...
Creo que en un programa p2p no se si el ares o el emule baje un archivo infectado que no me deja ejecutar los antivirus. Me he leido todo su foro, y pude eliminar el/los virus; pero sin embargo el problema al ejecutar el AVG persiste. Lo desisntale y probe con el NOD32, tampoco me deja ejeutarlo

Le he tirado con todo, ad aware; super antispyware; version on line del nod32; version on line del bit defender; version on line del kaspersky...

El hijack this esta entre lo que no puedo ejecutar pero si el cccleaner que lo uso para borrar los temporales. Tambien use el "embligia"(no se si se escribe bien asi) que supuestamente iba a sacar los restos del virus del registro

Sinceramente ya no se que hacer; no tengo otra opcion que formatear para poder volver a teener antivirus?

Hola Azote divino. Bienvenid@ al foro de Infospyware.

Realiza lo siguiente:

Paso 1.- Apaga el Restaurar Sistema (solo en Win Me y XP) Y activa ver archivos ocultos.

Paso 2.- Descarga, instala y/o actualiza; pero no ejecutes aun:

• Ccleaner.
  
• Dr Web CureIT. Manual.
  
• Malwarebytes' Anti-Malware.Manual.
  Nota: Si después de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.

Paso 3.- Reinicias en modo a prueba de fallos y ejecuta de a uno:

1. Malwarebytes' Anti-Malware;
   • Realiza un escaneo completo del PC y elimina las infecciones que este detecte.
   • Esto es fundamental, mandalas a cuarentena y eliminalas desde allí; pegas el reporte generado después de la eliminación.
   • El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.
   
   
2. Dr Web. Sigue las instrucciones de su manual.

Paso 4.- Reinicias en modo normal:

1. Ejecutas el Ccleaner.
   1. Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
   2. Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
   3. Lo haces en cada una de las cuentas de usuario que hayas creado.
   
   
2. Analizas "Mi Pc" con: Panda ActiveScan 2.0.
   
   Cita:

   Si utiliza FIREFOX debe tener instalado Java.

- Reactivas el "restaurar sistema" y deshaces "ver archivos ocultos".
- Pegas los reportes de Malwarebytes' Anti-Malware, Dr Web Cure-It y Panda para revisarlos.
- Para mayor comodidad imprime los pasos.

Saludos.

Bueno primero que nada agradecerte mucho tu atencion: pero tengo dos problemas mas, si bien el ordenador tiene pinta de ir bien, no me deja ver (en Herramientas-opciones de carpeta-ver) la opcion para ver archivos ocultos que antes si tenia y tampoco me deja reiniciar en modo a prueba de fallos. Por ahora no he hecho nada para no "meter la pata" jeje

Asi que cuando puedas si me podes dar alguna idea mas te lo agradezco mucho

Saludos

Hola.

1.- Para reparar el inicio en modo a prueba de fallos, lee el siguiente tutorial:

- ¿Por qué Windows no inicia en Modo Seguro (Modo a prueba de fallos)?.

Nota: Ejecuta las opciones y/o ; nunca la opción .

- Si el problema es con la tecla F8; prueba con F4, F5 o F9.

- En caso de no poder iniciar en modo seguro realizas el proceso de desinfección en modo normal; solo desactivas momentáneamente el antivirus y el antispyware.


2.- Intenta reparar "ver archivos ocultos" con RegUnlocker
Para ejecutar RegUnlocker:

• Pulsas en la pestaña "Reparadores" y señalas las opciones:
  • Reparar la visualización de archivos ocultos
    
• Dale clic en Aplicar para ejecutar la herramienta.
• Luego de su ejecución reinicias el Pc y compruebas.

Nota: Si no se repara te saltas este paso y continuas con el resto.

Exitos.

Bueno te comento lo que sucedio


Lo bueno; pude volver a ejecutar el modo a prueba de fallos y los dos programas que dijiste + el panda

Lo malo: todavia no logro ver los archivos ocultos y no encontre donde el malwarebytes deja el informe, o al menos me lo borro enseguida

Aca te dejo el informe del panda (creo que es esto) y el archivo de DR web es un excel con nombres de lo que saco,,, lo pongo?


Panda:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-04-15 23:09:05
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
NOD32 Antivirus ` No No
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.doubleclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.fastclick.net/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.statcounter.com/]
00167760 Cookie/Hitslink TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[counter.hitslink.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[ad.yieldmanager.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cookies.txt[.apmebf.com/]
01895148 Malicious Packer SecRisk No 0 Yes No H:\WINDOWS\system32\servupdate.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location !
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description !
;================================================= ================================================== ================================================== ==============================
184380 MEDIUM MS08-002 !
184379 MEDIUM MS08-001 !
182048 HIGH MS07-069 !
182046 HIGH MS07-067 !
182043 HIGH MS07-064 !
179553 HIGH MS07-061 !
176382 HIGH MS07-057 !
176383 HIGH MS07-058 !
170911 HIGH MS07-050 !
170907 HIGH MS07-046 !
170906 HIGH MS07-045 !
170904 HIGH MS07-043 !
164915 HIGH MS07-035 !
164913 HIGH MS07-033 !
164911 HIGH MS07-031 !
160623 HIGH MS07-027 !
157262 HIGH MS07-022 !
157261 HIGH MS07-021 !
157260 HIGH MS07-020 !
157259 HIGH MS07-019 !
156477 HIGH MS07-017 !
150253 HIGH MS07-016 !
150249 HIGH MS07-013 !
150248 HIGH MS07-012 !
150247 HIGH MS07-011 !
150243 HIGH MS07-008 !
150242 HIGH MS07-007 !
150241 MEDIUM MS07-006 !
141034 HIGH MS06-076 !
141033 MEDIUM MS06-075 !
141030 HIGH MS06-072 !
137571 HIGH MS06-070 !
137568 HIGH MS06-067 !
133387 MEDIUM MS06-065 !
133386 MEDIUM MS06-064 !
133385 MEDIUM MS06-063 !
133379 HIGH MS06-057 !
131654 HIGH MS06-055 !
129977 MEDIUM MS06-053 !
129976 MEDIUM MS06-052 !
126093 HIGH MS06-051 !
126092 MEDIUM MS06-050 !
126087 HIGH MS06-046 !
126086 MEDIUM MS06-045 !
126083 HIGH MS06-042 !
126082 HIGH MS06-041 !
126081 HIGH MS06-040 !
123421 HIGH MS06-036 !
123420 HIGH MS06-035 !
120825 MEDIUM MS06-032 !
120823 MEDIUM MS06-030 !
120818 HIGH MS06-025 !
120815 HIGH MS06-022 !
120814 HIGH MS06-021 !
117384 MEDIUM MS06-018 !
114666 HIGH MS06-015 !
114664 HIGH MS06-013 !
108744 MEDIUM MS06-008 !
108743 MEDIUM MS06-007 !
108742 MEDIUM MS06-006 !
104567 HIGH MS06-002 !
104237 HIGH MS06-001 !
96574 HIGH MS05-053 !
93395 HIGH MS05-051 !
93394 HIGH MS05-050 !
93454 MEDIUM MS05-049 !
;================================================= ================================================== ================================================== ==============================

Que tal rodrigo.

Realiza lo siguiente:

Paso1.- Descarga e instala y/o actualiza, pero no ejecutes aun:

• Malwarebytes' Anti-Malware. Manual.
  Nota: Si después de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
  
• Ccleaner.

Paso 2.- Apaga el Restaurar Sistema (solo en Win Me y XP).

Paso 3.- Reinicia en Modo Seguro (a prueba de fallos) y ejecuta el Malwarebytes' Anti-Malware;

1. Pulsas en "Herramientas" y con el "Fileassassin" eliminas los archivos que resalto con rojo:
   H:\WINDOWS\system32\servupdate.exe
   
2. Despues:
   • Realiza un escaneo completo del PC y elimina las infecciones que este detecte.
   • Esto es fundamental, mandalas a cuarentena y eliminalas desde allí; pegas el reporte generado después de la eliminación.
   • El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.

Paso 4.- Reinicia en modo normal:

1. Ejecutas el Ccleaner.
   • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
   • Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
   • Lo haces en cada una de las cuentas de usuario que hayas creado.
   
   
2. Analizas Mi Pc con: Kaspersky Antivirus online. Manual de Kaspersky.

- Pegas los reportes de MalwareBytes y Kaspersky para revisarlos.
- Reactivas el "restaurar sistema".
- Para mayor comodidad imprime los pasos.

Saludos.

Pd. Sube a windows Update para que descargues todos lo parches de seguridad que le faltan al sistema.
Nota: Si tu SO no es original usa WinUp O descargatelos desde Wilkinsonpc.

El malaware me los elimina de una los spyware, creo... En la pestaña no me figura ningun informe


Aca esta el del kaspersky

miércoles, 16 de abril de 2008 12:13:34
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 16/04/2008
Registros en la base antivirus: 636616
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
C:\
D:\
E:\
F:\
G:\
H:\
Estadísticas
Número de objeros analizados 38525
Virus encontrados 1
Objetos infectados 4 / 0
Objetos sospechosos 0
Duración del análisis 00:12:39

Bombre del objeto infectado Nombre del virus Última acción
H:\Documents and Settings\Coto\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \Cache\_CACHE_001_ Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \Cache\_CACHE_002_ Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \Cache\_CACHE_003_ Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \Cache\_CACHE_MAP_ Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
H:\Documents and Settings\Coto\Configuración local\Historial\History.IE5\MSHist0120080416200804 17\index.dat Object is locked saltado
H:\Documents and Settings\Coto\Cookies\index.dat Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \cert8.db Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \history.dat Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \key3.db Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \parent.lock Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \search.sqlite Object is locked saltado
H:\Documents and Settings\Coto\Datos de programa\Mozilla\Firefox\Profiles\oi4xvd5r.default \urlclassifier2.sqlite Object is locked saltado
H:\Documents and Settings\Coto\NTUSER.DAT Object is locked saltado
H:\Documents and Settings\Coto\ntuser.dat.LOG Object is locked saltado
H:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
H:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
H:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
H:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
H:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
H:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
H:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
H:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
H:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
H:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
H:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
H:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
H:\WINDOWS\SchedLgU.Txt Object is locked saltado
H:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
H:\WINDOWS\Sti_Trace.log Object is locked saltado
H:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
H:\WINDOWS\system32\config\default Object is locked saltado
H:\WINDOWS\system32\config\default.LOG Object is locked saltado
H:\WINDOWS\system32\config\SAM Object is locked saltado
H:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
H:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
H:\WINDOWS\system32\config\SECURITY Object is locked saltado
H:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
H:\WINDOWS\system32\config\software Object is locked saltado
H:\WINDOWS\system32\config\software.LOG Object is locked saltado
H:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
H:\WINDOWS\system32\config\system Object is locked saltado
H:\WINDOWS\system32\config\system.LOG Object is locked saltado
H:\WINDOWS\system32\drivers\downld\37546.exe Infectados: Trojan-Downloader.Win32.Bagle.ij saltado
H:\WINDOWS\system32\drivers\downld\38453.exe Infectados: Trojan-Downloader.Win32.Bagle.ij saltado
H:\WINDOWS\system32\drivers\downld\41640.exe Infectados: Trojan-Downloader.Win32.Bagle.ij saltado
H:\WINDOWS\system32\drivers\downld\41687.exe Infectados: Trojan-Downloader.Win32.Bagle.ij saltado
H:\WINDOWS\system32\h323log.txt Object is locked saltado
H:\WINDOWS\system32\servupdate.exe Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
H:\WINDOWS\wiadebug.log Object is locked saltado
H:\WINDOWS\wiaservc.log Object is locked saltado
H:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.



Sigo intentnando ejecutar el nod32 y no me deja, los archivos ocultos no aparecen :s

Instalo la actualizacion de windows que me dejaste?

Realiza lo siguiente:

- Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste Standar List of Files / Folders to be moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic en Exit.
• Reinicia el PC (Este paso es muy importante)
• Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

- Pegas el reporte de OtMoveIt2 para revisarlo.

- Vas a tener que desinstalar el antivirus.

Bueno aca esta


H:\WINDOWS\system32\drivers\downld\37546.exe moved successfully.
H:\WINDOWS\system32\drivers\downld\38453.exe moved successfully.
H:\WINDOWS\system32\drivers\downld\41640.exe moved successfully.
H:\WINDOWS\system32\drivers\downld\41687.exe moved successfully.

OTMoveIt2 v1.0.20 log created on 04162008_212719


Eso es?

Ya desinsatele el nod32

INstalo la actualizacion de windows?

Hola.

- Elimina esta carpeta: C: \ _ OTMoveIt\<==. Luego vacias la papelera de reciclaje.

- Instala de nuevo el antivirus: Antivirus - Infospyware.

- Descarga los parches de seguridad que le faltan al equipo.

- Para ver los archivos ocultos descarga y ejecuta: RegUnlocker.
Para ejecutar RegUnlocker:

• Pulsas en la pestaña "Reparadores" y señalas las opciones:
  • Reparar la visualizacion de archivos ocultos.
    
• Dale clic en Aplicar para ejecutar la herramienta.
• Luego de su ejecución reinicias el Pc y compruebas.

Comentas si se soluciono el problema.

Saludos