Buenas tardes.

Primero quería agradeceros que me ayudarais a limpiar el SmitFraud la semana pasada (el tema ya lo habeis enviado a Solucionados). Lo que pasa ahora es que después de haberlo eliminado, he pasado el free del Norton y me ha salido que tengo el Trojan.Skintrim. Adjunto el reporte que ha salido para ver si me podeis volver a ayudar con esto. También os agradecería que me dijerais cómo quitar el Hotbar.

Muchas gracias.



Estado del análisis:

Análisis: 1

Iniciar análisis: 05/23/08 19:40:42

Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\;D:\

Definiciones de virus: 05/23/08

Recuento del análisis: 408029

Riesgos detectados: 3

Riesgos resueltos: 0

Riesgos sin resolver: 3

Hora del análisis: 7110 s

Análisis completo: 05/23/08 21:39:13



Amenazas resueltas:



Amenazas sin resolver:

Adware.Hotbar

ID del virus: 4294905910

Riesgo: Bajo

Categorías: Software de publicidad no deseada

Estado: No controlado

-----------

Registro:

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\System

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}

HKEY_USERS\S-1-5-19\Software\sbusa

HKEY_USERS\S-1-5-20\Software\sbusa

HKEY_USERS\.DEFAULT\Software\sbusa

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\sbusa

HKEY_USERS\S-1-5-19\Software\ShoppingReport

HKEY_USERS\S-1-5-20\Software\ShoppingReport

HKEY_USERS\.DEFAULT\Software\ShoppingReport

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\ShoppingReport

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3->1601:1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser->{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_CLASSES_ROOT\AppID\HotbarSA_df.exe

HKEY_CLASSES_ROOT\AppID\{C9FA63D4-915C-45f4-B992-0BD9D6B1324B}

HKEY_CLASSES_ROOT\Hotbar.DesktopFlash.1

HKEY_CLASSES_ROOT\Hotbar.DesktopFlash

HKEY_CLASSES_ROOT\Interface\{E20524A2-EB9C-4006-88BB-4F57E753523B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{68354AD6-AC7E-4fe3-A19B-8F8E70AB4252}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{D10C4DB6-CB02-40f4-88EE-C0B64C02ADFC}

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox

Infección:

c:\archivos de programa\trend micro\hijackthis\backups\backup-20080522-194747-997.dll

Memoria caché del navegador





Tracking Cookie

ID del virus: 4294909925

Riesgo: Bajo

Categorías: Cookie

Estado: No controlado

-----------

Cookie:

Cookie:emilio@ad.yieldmanager.com/

Cookie:emilio@imgs.codigobarras.net/

Cookie:emilio@imgs.codigobarras.com/





Trojan.Skintrim

ID del virus: 40679

Riesgo: Alto

Categorías: Virus

Estado: No controlado

-----------

Infección:

c:\qoobox\quarantine\c\documents and settings\emilio\configuración local\datos de programa\higkau.exe.vir

Memoria caché del navegador








--------------------------------------------------------------------------

Hola emimore4

Desinstala Combofix como lo indica este enlace

Luego hazte lo siguiente:

Descarga, instala y actualiza las siguientes herramientas pero no las ejecutes aun

• DelPSGuard [Última version]
  
• Malwarebytes' Anti-Malware

Apaga Restaurar Sistema (Solo en Windows Me y XP)

Inicia en Modo a Prueba de Fallos

Ejecuta las herramientas del paso actualizadas y en su mismo orden y de a una

Inicia en modo normal

Descarga Ccleaner + Manual y usalo primero en modo Limpiador para limpiar cookies y temporales de internet y luego en modo Registro (haciendo copia de seguridad como lo indica el manual)

Has un scanner con Kaspersky Online y pegas el reporte acá junto con el reporte de las herramientas del paso


Salu2 Recuerda Volver

Buenas tardes.

Aquí os copio los reportes del DelPSGuard, del Malwarebytes' AntiMalware y del Kaspersky Online. Gracias por la ayuda.


DelPSGuard:

DelPSGuard v 4.9.7
by www.ForoSpyware.com
Reporte Creado: 21:22:48,75, 28/05/2008
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32 \ntimage.gif Eliminado Malware.Bagle

»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»



Malwarebytes' AntiMalware:

Malwarebytes' Anti-Malware 1.12
Versión de la Base de Datos: 722

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 234348
Tiempo transcurrido: 4 hour(s), 27 minute(s), 24 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)



Kaspersky Online:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
viernes, 30 de mayo de 2008 0:09:44
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 29/05/2008
Registros en la base antivirus: 723584
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 189558
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 02:36:39

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos comunes\Sandlot Shared\slghex.dll Object is locked saltado
C:\Archivos de programa\CA\Etrust Antivirus\DB\rtmaster.dbf Object is locked saltado
C:\Archivos de programa\CA\Etrust Antivirus\DB\rtmaster.ntx Object is locked saltado
C:\Archivos de programa\DelPSGuard\IED.exe Object is locked saltado
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLML_MAIN \CLML.db Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsched.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsrm.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\muvee Technologies\030625\0237\0192\values Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Historial\History.IE5\MSHist0120080529200805 30\index.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Configuración local\Temp\WCESLog.log Object is locked saltado
C:\Documents and Settings\EMILIO\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\EMILIO\Datos de programa\$_hpcst$.hpc Object is locked saltado
C:\Documents and Settings\EMILIO\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\EMILIO\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{702BDD F3-0984-40FC-95E2-B65DE257CC17}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\TEMP\CLML_AGENT_LOG1.txt Object is locked saltado
C:\WINDOWS\TEMP\sqlite_XprH3UHsqDqMl8s Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Hola emimore4

Los reportes salieron limpios

Aun sigues con problemas??

Salu2

Buenas tardes.

Perdón por la tardanza en responder, pero no he podido hacerlo antes.

A pesar de que estos reportes hayan salido limpios, con el free del Norton me vuelve a salir que tengo el Trojan.Skintrim

Vuelvo a adjuntar el reporte para ver si me podeis ayudar.


Estado del análisis:

Análisis: 1

Iniciar análisis: 06/03/08 16:56:54

Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\;D:\

Definiciones de virus: 05/29/08

Recuento del análisis: 406552

Riesgos detectados: 3

Riesgos resueltos: 0

Riesgos sin resolver: 3

Hora del análisis: 17131 s

Análisis completo: 06/03/08 21:42:25



Amenazas resueltas:



Amenazas sin resolver:

Adware.Hotbar

ID del virus: 4294905910

Riesgo: Bajo

Categorías: Software de publicidad no deseada

Estado: No controlado

-----------

Registro:

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\System

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}

HKEY_USERS\S-1-5-19\Software\sbusa

HKEY_USERS\S-1-5-20\Software\sbusa

HKEY_USERS\.DEFAULT\Software\sbusa

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\sbusa

HKEY_USERS\S-1-5-19\Software\ShoppingReport

HKEY_USERS\S-1-5-20\Software\ShoppingReport

HKEY_USERS\.DEFAULT\Software\ShoppingReport

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\ShoppingReport

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3->1601:1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser->{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_CLASSES_ROOT\AppID\HotbarSA_df.exe

HKEY_CLASSES_ROOT\AppID\{C9FA63D4-915C-45f4-B992-0BD9D6B1324B}

HKEY_CLASSES_ROOT\Interface\{E20524A2-EB9C-4006-88BB-4F57E753523B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{68354AD6-AC7E-4fe3-A19B-8F8E70AB4252}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{D10C4DB6-CB02-40f4-88EE-C0B64C02ADFC}

Infección:

c:\archivos de programa\trend micro\hijackthis\backups\backup-20080522-194747-997.dll

Memoria caché del navegador





Tracking Cookie

ID del virus: 4294909925

Riesgo: Bajo

Categorías: Cookie

Estado: No controlado

-----------

Cookie:

Cookie:emilio@ad.yieldmanager.com/

Cookie:emilio@msnportal.112.2o7.net/





Trojan.Skintrim

ID del virus: 40679

Riesgo: Alto

Categorías: Virus

Estado: No controlado

-----------

Infección:

c:\qoobox\quarantine\c\documents and settings\emilio\configuración local\datos de programa\higkau.exe.vir

Memoria caché del navegador








--------------------------------------------------------------------------

Hola emimore4

Elimina la carpeta c:\Qoobox y el archivo c:\archivos de programa\trend micro\hijackthis\backups\backup-20080522-194747-997.dll, luego, reinicia el PC a "Modo a prueba de fallos" y ejecuta el Antivirus....

Salu2
Recuerda volver

Ya está solucionado, muchísimas gracias por la ayuda.

Aunque ya sé que no es un virus, ¿cómo puedo desinstalar la barra de herramientas hotbar?

Hola emimore4

Realiza estos pasos por favor...

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2
Recuerda volver y contarnos los resltados