hola a todos, la verdad creo que tengo varios problemas, el primero fue un troyano que se metio por una usb de una tia, pero ni idea que paso, luego mi hermana acepto el virus de msm, si el de la "foto" y pues ya que tenia tiempo decidi hacer lo de los 11 pasos para eliminar malware y eso, si encontre varios cosas siguiendo los pasos, luego llegue al de el escaneo online con Kaspersky y me salio el virus amvo.exe, luego lo deje escanendo de nuevo y cuando volvi se me habia cerrado la ventana, y me salieron unas alertas con el avast que decia muchos mensajes enviados, con unos destinatarios desconocidos, y sin tener mi cuenta de mail abierta, alrededor de unos 5 mensajes, sera que un bot esta distribuyendose desde mi pc? lo otro es que trate de eliminar el amvo.exe y los dll que lo acompañan, pero no puedo ver los archivos ocultos, le doy en opciones de carpeta y le doy aplicar, y no me las deja ver.

pues esta es mi situacion y ya estoy mas que aburrido >_<

aqui les dejo lo que me dijo el escaneo

martes, 15 de abril de 2008 0:22:24
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 15/04/2008
Registros en la base antivirus: 632452


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\BETDOM~1\CONFIG~1\Temp\

Estadísticas
Número de objeros analizados 16251
Virus encontrados 1
Objetos infectados 4 / 0
Objetos sospechosos 0
Duración del análisis 00:36:22

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\amvo.exe Infectados: Worm.Win32.AutoRun.des saltado

C:\WINDOWS\system32\amvo0.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\WINDOWS\system32\amvo1.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_5a4.dat Object is locked saltado

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\DOCUME~1\BETDOM~1\CONFIG~1\Temp\cmctva4c.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\DOCUME~1\BETDOM~1\CONFIG~1\Temp\JETBC40.tmp Object is locked saltado

C:\DOCUME~1\BETDOM~1\CONFIG~1\Temp\Perflib_Perfdat a_4ec.dat Object is locked saltado

C:\DOCUME~1\BETDOM~1\CONFIG~1\Temp\Perflib_Perfdat a_e38.dat Object is locked saltado

Análisis completado.


estoy seguro que tengo mas cosas, pero no se que hacer

Hola betdomain. Bienvenid@ al foro de Infospyware.

Primero: Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste Standar List of Files / Folders to be moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic en Exit.
• Reinicia el PC (Este paso es muy importante)
• Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

Despues: Realiza lo siguiente:

Paso 1.- Apaga el "Restaurar Sistema".

Paso 2.- Descarga, Instala y/o actualiza estos programas: (pero no los ejecute aun).

• Flash_Disinfector.exe (al final del post).
  
• SUPERAntiSpyware.
  
• Ccleaner.

Paso 3.- Reiniciar eh iniciar en Modo seguro (a prueba de fallos). Ejecuta de a uno:

1. Flash_Disinfector.exe;
   • Con los dispositivos USB desconectados, ejecuta Flash_Disinfector.
   • Luego conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecutas Flash_Disinfector de nuevo.
   Cita:

   Nota: Flash_Disinfector creará una carpeta oculta llamado "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudara a proteger sus dispositivos USB de futuras infecciones.

2. SUPERAntiSpware. Lleva a cabo un analisis completo y elimina todo lo que este encuentre.
   
3. CCleaner
   • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos;
   • y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 4.- Reinicia el Pc en modo normal y realiza un escaneo completo con Kaspersky Antivirus Online.Manual

- Reactiva el "restaurar sistema".
- Pegas el reporte de Kaspersky Antivirus online para revisarlo.
- Para mayor comodidad imprime los pasos.

Salu2

otra cosita, tengo este archivo que ni idea, se me creo ayer, a ver si alguno de ustedes lo reconoce, se llama taskmansf.exe pesa 180kb muy sospechoso. y por ultimo, como puedo saber si tengo mas daños, ya que mi compu no funciona como deberia, me aconsejas hacer los de Hijack this, realmente me gustarian que me ayudaran a sacar todo lo malo de mi pc >_< igual agradezco tu ayuda

Hola.

1.- Sube el archivo: taskmansf.exe a VirusTotal y pegas el reporte que se genere.

2.- Si quieres abrir un tema en el Foro de HijackThis, primero debes cerrar este.

Salu2.

ahora tengo este el wnpms.exe >_< no salgo de uno y entro en otro, toy como demalas no >_<

bueno voy a intentar de nuevo en modo a prueba de fallos a ver que pasa

oye y como hago para que se vean todos los archivos, se supone que soy el una cuenta adm pero no me deja cambiar esa opcion

Hola.

Para poder ver los archivos ocultos tienes que desinfectar el equipo primero; esta es una de las acciones del malware.

¿Haz hecho algo de lo que te indiqué?. ¿Donde están los reportes?.

Suerte.

si en eso estoy ya hice lo del anterior post, y limpie mis memorias y el compu, pero acabe de iniciar sesion y el amvo ya queria meterse al registro pero lo bloquee jajaja, ahora voy con el kapersky

salio muy grande el archivo, te subo el .txt de 2 megas >_<

aqui te dejo el link

http://www.wikiupload.com/download_page.php?id=28485

eso si esta largito >_<

te lo agradezco

Hola.

No puedo ver el reporte.

Haz lo siguiente, edita el reporte y pega solo el encabezado y los archivos infectado (con la ruta completa). Algo asi:

------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 15 de abril de 2008 20:50:08
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 15/04/2008
Registros en la base antivirus: 634918
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
F:\

Estadísticas:
Número de objeros analizados: 96827
Virus encontrados: 4
Objetos infectados: 15 / 0
Objetos sospechosos: 0
Duración del análisis: 02:54:21

Bombre del objeto infectado / Nombre del virus / Última acción

C:\autorun.inf Infectados: Worm.Win32.AutoRun.des saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\cmctva4c.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\Documents and Settings\Betdomain\Configuración local\Temp\cmctva4c.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\Documents and Settings\mama\Configuración local\Archivos temporales de Internet\Content.IE5\FZE10NO9\x3[1].exe Infectados: Backdoor.Win32.IRCBot.cif saltado

C:\q.com Infectados: Worm.Win32.AutoRun.des saltado

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe Infectados: Virus.Win32.Agent.bc saltado

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe Infectados: Worm.Win32.AutoRun.dha saltado


C:\WINDOWS\system32\amvo.exe Infectados: Worm.Win32.AutoRun.des saltado

C:\WINDOWS\system32\amvo0.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\_OTMoveIt\MovedFiles\04152008_162354\DOCUME~1\B ETDOM~1\CONFIG~1\Temp\cmctva4c.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\_OTMoveIt\MovedFiles\04152008_162354\WINDOWS\sy stem32\amvo.exe Infectados: Worm.Win32.AutoRun.des saltado

C:\_OTMoveIt\MovedFiles\04152008_162354\WINDOWS\sy stem32\amvo0.dll Infectados: Worm.Win32.AutoRun.des saltado

C:\_OTMoveIt\MovedFiles\04152008_162354\WINDOWS\sy stem32\amvo1.dll Infectados: Worm.Win32.AutoRun.des saltado

D:\autorun.inf Infectados: Worm.Win32.AutoRun.des saltado

D:\q.com Infectados: Worm.Win32.AutoRun.des saltado


Análisis completado.