Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

C:/Users/el fandy4011/AppData/Local/Temp/BIT80CA.tmp

Threat:

a variant of Win32/TrojanDownloader.VB.AW trojan

Comment:

Event ocurred on a file modified by the application:


En quarentena tengo esto:


C:Windows/system32/svchost.exe.Please submit this object to ESET for analysis


12/05/2008 15:32:38 Real-time file system protection file C:\Users\pablo\AppData\Local\Temp\BIT80CA.tmp a variant of Win32/TrojanDownloader.VB.AW trojan deleted - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\Windows\system32\svchost.exe.


12/05/2008 13:42:06 Real-time file system protection file C:\Users\pablo\AppData\Local\Temp\BIT80A6.tmp multiple threats NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\Windows\system32\svchost.exe.


12/05/2008 13:38:53 Real-time file system protection file C:\Users\pablo\AppData\Local\Temp\removalfile.bat Win32/Adware.Virtumonde application cleaned by deleting - quarantined Event occurred on a new file created by the application: C:\Users\pablo\AppData\Local\Temp\is152062.exe.



Cuando me ha salido la primera alerta he desconectado internet, he vuelto a pasar el Nod32, me volvió a salir el mensaje de alerta, acabó dde escanear, luego pasé el ccleaner, y limpié todas las cookies, reinicié a modo prueba de fallos, y a la hora de abrir el NOD32 PARA pasar el antivirus me sale el NOD32 COMO simbolo del sistema en la ventana negra, y no hace nada, no escanea ni nada.


Guiadme un poco por favor, que puedo hacer.


Tengo el vista home premium, la infección la tengo en al portatil, lo tengo sin conexion ahora.

Espero vuestras ayudas porfavor

Hola,

Sigue estos pasos:

Apaga "Restaurar Sistema" (System Restore) Solo en Win ME y XP

Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)

Aun en modo seguro; Escanea tu PC con

• VundoFix
  
  Cita:

  *Nota* Para ejecutar la herramienta VundoFix.exe siga estos pasos * Hacer Doble-clic al archivo VundoFix.exe para activarlo. * Cuando VundoFix abre de nuevo, presionar el botón de "Scan for Vundo" * Una vez que haya hecho la exploración, presionar el botón de "Remove Vundo" * Recibirá un mensaje preguntado si desea quitar los archivos y ponerle YES * Una vez presionado YES el escritorio parpadeara en blanco y es porque esta quitando el Vundo. * Cuando termina presionar en OK para reiniciar el equipo en modo normal.

• DelPSGuard(dejanos su reporte)
• MalwareBytes' Anti-Malware (dejanos el reporte que éste genere)

Utiliza el CClenaer. Usar primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia en Modo Normal y pasale este antivirus online:

• kaspersky -Manual- (Coloca su log)

• Si usas Firefox necesitaras de la extension IETab

Deshacer el paso número 1

Por comodidad te recomiendo que imprimas las indicaciones.

Comentanos como te ah ido! Saludos y suerte!

Hola, grcias por tus instrucciones, he seguido paso a paso lo que me has dicho. Aun no he pasado el antivirus on line, no tengo conexion de banda ancha, mi conexion es de 56k, espero poder realizar al sacaner con el antivirus on line.

Aqui te dejo los logs:(algunos no encontraron nada)

Malwarebytes' Anti-Malware 1.12
Versión de la Base de Datos: 743

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 159922
Tiempo transcurrido: 25 minute(s), 42 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Program Files\ESET\Thanks! (Trojan.Vundo) -> No action taken.
C:\Program Files\GRETECH\GomPlayer\skins\default\LOGO\GOM.BMP (Trojan.Vundo) -> No action taken.
C:\Program Files\GRETECH\GomPlayer\skins\default\LOGO\GOM_ENG .BMP (Trojan.Vundo) -> No action taken.
C:\Program Files\GRETECH\GomPlayer\skins\default\LOGO\GOM_JPN .BMP (Trojan.Vundo) -> No action taken.


DelPSGuard v 4.9.7
by www.ForoSpyware.com
Reporte Creado: 0:16:29,57, 13/05/2008
SO: Microsoft Windows [Versi¢n 6.0.6001]
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»




VundoFix V7.0.3

Scan started at 22:15:09 12/05/2008

Listing files found while scanning....

C:\Program Files\PowerISO\PWRISOSH.DLL

Beginning removal...

Attempting to delete C:\Program Files\PowerISO\PWRISOSH.DLL
C:\Program Files\PowerISO\PWRISOSH.DLL Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V7.0.3

Scan started at 0:18:55 13/05/2008

Listing files found while scanning....

No infected files were found.



Espero que me puedas ayudar, y que esto tenga solucion.
Tengo el windows vista, y funciona como siempre(muy bien) y mi conexion a internet también funciona como siempre..... 56k.

Nuevamente gracias y espero tus comentarios y soluciones.

No puedo hacer el scaner on line con Kaperski, ni con a modo a prueba de fallos con funciones de red, ni en modo normal, entro a la web con IE7 y me dice esto:


Alguna solución?

espero vuestras respuestas

Hola, al pasar MalwareBytes eliminas los archivos que ha encontrado? Si tienes alguna duda lee su manual.

Para el problema del Kaspersky lee su manual si sigue sin funcionar prueba con Panda online si éste tampoco te funciona dime y te doy pasos diferentes.

Saludos!

Si, claro que lo hicé.

Intentaré a ver que puedo hacer.

Gracias por tus respuestas

He probado con el panda y tampoco:

He intentado instalar unos controladores activeX y cuando ha terminado me ha dicho eso, lo he probado ahora con el panda.

Al final he podido hacer el scaner completo con el panda on line.
Espero que me digas que ago ahora



ANALYSIS: 2008-05-13 18:02:21
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 Antivirus 3.0 3.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00101555 Application/KillApp.B HackTools No 0 Yes No C:\HP\BIN\EndProcess.exe
00293079 Spyware/7r7t Spyware No 1 Yes No C:\Users\pablo\AppData\Local\Temp\BIT80CA.tmp
00293079 Spyware/7r7t Spyware No 1 Yes No C:\Users\pablo\AppData\Local\Temp\BIT853E.tmp
00293079 Spyware/7r7t Spyware No 1 Yes No C:\Users\pablo\AppData\Local\Temp\BIT8983.tmp
00293079 Spyware/7r7t Spyware No 1 Yes No C:\Users\pablo\AppData\Local\Temp\BIT8DC8.tmp
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\Windows\Nircmd.exe
02900581 Adware/NaviPromo Adware No 1 Yes No C:\QooBox\Quarantine\C\Users\pablo\AppData\Local\b ubjnrqrdc.exe.vir
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location H�����"
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description H�����"
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Descargate OTMoveIt lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic enExit.
• Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

Cuando he reiniciado, al folver a iniciar el pc se me ha colgado, lo he apagado de golpe y ya.

El log:

C:\Users\pablo\AppData\Local\Temp\BIT80CA.tmp moved successfully.
C:\Users\pablo\AppData\Local\Temp\BIT853E.tmp moved successfully.
C:\Users\pablo\AppData\Local\Temp\BIT8983.tmp moved successfully.
C:\Users\pablo\AppData\Local\Temp\BIT8DC8.tmp moved successfully.
File move failed. C:\Windows\Nircmd.exe scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05132008_183905