virus shs?

**elwal** · 15/06/08, 15:54:08

Hola, tengo un archivo que se llama recorte.shs en el directorio, cuando voy a propiedades me dice que es un identificador de recortes de objetoss shell o algo asi, no se como se instalo, la cuestion es que no lo puedo borrar porque me dice que esta siendo usado por otra aplicacion, lei por ahi que puede ser un virus, y no quiero seguir urgandolo por miedo a que rompa algo del sistema solicito sus conocimientos y amabilidad para ayudarme en esto, desde ya muchas gracias!.

**Andresmix** · 15/06/08, 16:00:31

Hola elwal

Si quieres saber si ese archivo esta infectado por favor subelo a VirusTotal para que pueda ser analizado por mas de 20 antivirus a la vez, aqui te dejo su Manual, me pegas el reporte en tu proxima respuesta.

===========================================================

Ahora bien si quieres saber si tu pc presenta infecciones puedes realizar los siguientes pasos:

Descarga e instala las siguientes herramientas pero no las ejecutes aun:

Apaga "Restaurar Sistema"

Reinicia en "Modo a prueba de fallos" (modo seguro)

Ejecuta estos programas (de a uno) ---> Siguiendo los pasos del Manual de cada uno:

SuperAntispyware
Malware Bytes'
drweb cure It

Reinicia en Modo Normal y realiza un escaneo con:
Kaspersky ---Manual (nos pegas el reporte completo para analizarlo)

Nota:

Sigue los pasos tal y como estan indicados
De preferencia imprimelos para que se te hagan mas facil seguirlos
Pega los reportes de:Dr Web Cure It, Malware Bytes' y de Kaspersky Online Scanner

Regresa y comentanos como te fue

Andresmix

**elwal** · 15/06/08, 16:14:35

gracias andres por tu rapida respuesta, de momento te dejo el resultado del analisis y voy por los siguientes pasos que me indicaste, saludos

Análisis del archivo Recorte.shs recibido el 15.06.2008 22:11:11 (CET)Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.6.13.1 2008.06.15 -
AntiVir 7.8.0.55 2008.06.15 -
Authentium 5.1.0.4 2008.06.15 -
Avast 4.8.1195.0 2008.06.15 -
AVG 7.5.0.516 2008.06.15 -
BitDefender 7.2 2008.06.15 -
CAT-QuickHeal 9.50 2008.06.14 -
ClamAV 0.92.1 2008.06.15 -
DrWeb 4.44.0.09170 2008.06.15 -
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5873 2008.06.14 -
Ewido 4.0 2008.06.15 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.15 -
Fortinet 3.14.0.0 2008.06.15 -
GData 2.0.7306.1023 2008.06.15 -
Ikarus T3.1.1.26.0 2008.06.15 -
Kaspersky 7.0.0.125 2008.06.15 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.15 -
NOD32v2 3188 2008.06.15 -
Norman 5.80.02 2008.06.13 -
Panda 9.0.0.4 2008.06.15 -
Prevx1 V2 2008.06.15 -
Rising 20.48.62.00 2008.06.15 -
Sophos 4.30.0 2008.06.15 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.15 -
TheHacker 6.2.92.350 2008.06.14 -
VBA32 3.12.6.7 2008.06.14 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.15 -

Información adicional
Tamano archivo: 2073088 bytes
MD5...: 163a2d6048a7eee6c13c113437ab9dd8
SHA1..: 1bfc3f4e86f6d65b274970cff53386dd0a74a396
SHA256: 590a4583b650d8c8c3643f03ee564273d6b3cb70e082099f6ddae5a545d29a5c
SHA512: ef645d382b84a1c8d412ece954c80db11d4562b4d10bbb9b2f7ea6259114f697<BR>9fb02f53cbf2fddf5d5e30fee9b2979e5300f54ef810dd8a0495f671949bcb4b
PEiD..: -
PEInfo: -

**Andresmix** · 15/06/08, 16:36:21

Hola

El reporte de virustotal, nos dice que el archivo no es una infeccion.
Ahora bien dime que problemas mas tienes, y si vas a realizar los otros pasos..

**elwal** · 15/06/08, 17:00:41

Andres, ya instale los programas que me dijiste, voy ahora por su ejecucion, estoy imprimiendo las paginas de manuales y comienzo, luego te pego los informes, el problema que tengo es que ese archivo no lo puedo eliminar de mi esctitorio ni cambiarlo de lugar ni nada porque no me deja, dice que esta siendo usado por una aplicacion, y tengo miedo que sea algun virus u otra infeccion solo es eso, no noto ningun otro problema en la notebook, la velocidad es normal y todo anda bien, salvo este archivo que se me instalo ahi y no tengo la menor idea de lo que es, quizas sea solo un resultado de algun proceso y nada tiene que ver con virus pero desde que se me puso que quiero borrarlo y no puedo jejejej gracias por tu ayuda

**Andresmix** · 15/06/08, 17:07:34

Hola

Ok, entonces realiza los pasos y verificaremos si tienes algun infeccion, no te olvides de pegar los reportes solicitados para su analisis

**elwal** · 15/06/08, 23:14:58

bueno, despues de varias horas pude seguir todos los pasos creo , pego a continuacion los reportes

este reporte me tiro el malwarebit
------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.17
Versión de la Base de Datos: 857

20:18:40 15/06/2008
mbam-log-6-15-2008 (20-18-28).txt

Tipo de examen : Examen Rápido
Objetos examinados: 38265
Tiempo transcurrido: 28 minute(s), 22 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> No action taken.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{35b7e48b-9d81-4c6c-9578-5fd4f620d886} (Spyware.MarketScore) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

-----------------------------------------------------------------------------------------------------

este reporte me tiro el kaepersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
lunes, 16 de junio de 2008 0:00:42
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 15/06/2008
Registros en la base antivirus: 774405
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
G:\

Estadísticas:
Número de objeros analizados: 100527
Virus encontrados: 2
Objetos infectados: 8 / 0
Objetos sospechosos: 0
Duración del análisis: 01:32:31

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado
C:\Archivos de programa\Mu-v2 SEASON 3\mu.dll Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\4JKR8JQP\in[1].htm Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\G21K39WM\go[1].htm Infectados: Trojan-Clicker.HTML.IFrame.fp saltado
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2\3D main Mu-v2.rar/3DCamer.dll Infectados: Backdoor.Win32.PowerSpider.bt saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2\3D main Mu-v2.rar RAR: infectado - 1 saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2\3DCamer.dll Infectados: Backdoor.Win32.PowerSpider.bt saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2.rar/Mu-v2/3D main Mu-v2.rar/3DCamer.dll Infectados: Backdoor.Win32.PowerSpider.bt saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2.rar/Mu-v2/3D main Mu-v2.rar Infectados: Backdoor.Win32.PowerSpider.bt saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2.rar/Mu-v2/3DCamer.dll Infectados: Backdoor.Win32.PowerSpider.bt saltado
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2.rar RAR: infectado - 3 saltado
C:\Documents and Settings\Usuario\ntuser.dat Object is locked saltado
C:\Documents and Settings\Usuario\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{CAF0A016-ED18-498C-8280-E5FF2E0AAE62}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\drivers\sptd2029.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.
-------------------------------------------------------------------------------------------------------

el superantispyware solo puso en cuarentena cokies y no se como poner el informe, espero sirva esto saludos

**Andresmix** · 16/06/08, 23:03:23

Hola elwal

Realiza lo siguiente:
Apaga Restaurar Sistema
Activa la Opcion Ver Archivos Ocultos

Descargate OTMoveIt lo guardas en el Escritorio.

Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
Asegurate que este marcado "Unregister Dll's and Ocx's".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste Standar List of Files / Folders to be moved.

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\G21K39WM\go[1].htm
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2\3D main Mu-v2.rar
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2\3DCamer.dll
C:\Documents and Settings\Usuario\Escritorio\Mu-v2\Mu-v2.rar

Haz clic en MoveIt! Para lanzar la supresión.
Cuando el resultado aparece en el marco Results, haz clic enExit.
Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles\********_******.txt (Donde sale "********_******" es el "date_time")

Limpia el Pc de cookies, temporales, etc y el registro con :

DiskCleaner >>> Manual
RegSeeker. >>> Manual

Al final de todo esto, Reinicias el Pc, Prende Restuarar Sistema, Reinicias Nuevamente...

Realiza otro scan con Kaspersky y vuelves a pegar el reporte

Vuelve y comentanos como te fue

Andresmix

virus shs?

Herramientas

virus shs?

Re: virus shs?

Re: virus shs?

Re: virus shs?

Re: virus shs?

Re: virus shs?

Re: virus shs?

Re: virus shs?