ayer mi hermano acepto un archivo desde msn messenger y por supuesto era un virus, mi antivirus, NOD32, no lo reconoce. lo que hice fue hacer un scaneo online con
Kaspersky Online scanner ( a eso lo lei en este foro) aqui paso el informme que me arrojo:



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 06 de agosto de 2008 14:53:40
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 6/08/2008
Registros en la base antivirus: 943580
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\
F:\
G:\
H:\

Estadísticas:
Número de objeros analizados: 37585
Virus encontrados: 2
Objetos infectados: 6 / 0
Objetos sospechosos: 0
Duración del análisis: 00:20:16

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\ESET\infected\2BMHAFDA.NQF Infectados: Trojan.Win32.Obfuscated.en saltado
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\Content.IE5\P8RAHA64\EULA[1].txt Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\Content.IE5\YY02ZN6Y\unlimitedhosting[1].jpg Infectados: Trojan.Win32.Mondera.gen saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Historial\History.IE5\MSHist0120080806200808 07\index.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Temp\21.exe Infectados: Trojan.Win32.Mondera.gen saltado
C:\Documents and Settings\Siempre Conectados\Configuración local\Temp\IH27.tmp Object is locked saltado
C:\Documents and Settings\Siempre Conectados\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Siempre Conectados\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Siempre Conectados\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Siempre Conectados\yajrji.exe Infectados: Trojan.Win32.Mondera.gen saltado
C:\MSNCleaner\BackUpMSNCleaner\24.exe.vir Infectados: Trojan.Win32.Mondera.gen saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\van.exe Infectados: Trojan.Win32.Mondera.gen saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.


si me ayudan les estaré eternamente agradecidos

Hola maccimus Bienvenido al Foro


Descarga y ejecuta la ultima versión del MsnCleaner que por los momentos es la 1.6.9 y pegas el reporte acá


Luego descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt2 nombrado Paste Standard List of Files / Folders to Move.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es muy importante).

Envía el informe (reporte) de OTMoveIt2 situado sobre C: \ _ OTMoveIt\MovedFiles.

Pegas el reporte del msncleaner y el del OTmoveit 2 acá.

Salu2

< C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\Content.IE5\YY02ZN6Y\unlimitedhosting[1].jpg >
File/Folder C:\Documents and Settings\Siempre Conectados\Configuración local\Archivos temporales de Internet\Content.IE5\YY02ZN6Y\unlimitedhosting[1].jpg not found.
File/Folder C:\Documents and Settings\Siempre Conectados\Configuración local\Temp\21.exe not found.
C:\Documents and Settings\Siempre Conectados\yajrji.exe moved successfully.
File/Folder C:\MSNCleaner\BackUpMSNCleaner\24.exe.vir not found.
C:\WINDOWS\system32\van.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08062008_161158

reiice el pc e hice nuevamente el scan con msncleaner y esto arrojo

- Reporte MSNCleaner 1.6.9 by www.forospyware.com
- Reporte Creado: 06/08/2008 a las 16:20:29
- Sistema Operativo: Windows XP
- Modo de Inicio: Normal
_________________________________________

Archivos detectados: 1
Archivos eliminados: 0
Archivos no eliminados: 0

C:\Documents and Settings\Siempre Conectados\Configuración local\Temp\foto_0016.zip

se borro uno, pero el otro quedo

Pero eliminaste eso que te encontró el Msncleaner??

Recuerda que cuando la herramienta encuentra algo, automáticamente se activa el boton de "Eliminar"

Puedes usar el FileASSASIN y borralo y si no se deja hazlo en Modo a Prueba de Fallos.


Descarga SDFix y guardala y descomprimila en tu escritorio pero no la ejecutes aun.

Inicia en Modo a Prueba de Fallos


Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Después que el pc se reinicie pegas acá el reporte del sdfix.

Salu2

SDFix: Version 1.213
Run by Siempre Conectados on 06/08/2008 at 17:50

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\DOCUME~1\SIEMPR~1\ESCRIT~1\SDFix

Checking Services :

Killing PID 808 'MMEQ.EXE'
Killing PID 808 'MMEQ.EXE'

Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOCUME~1\SIEMPR~1\MMEQ.EXE - Deleted
C:\WINDOWS\SYSTEM32\SGUKW.EXE - Deleted
C:\WINDOWS\system32\rundll64.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 17:54:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Disabled:Ares p2p for windows"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Documents and Settings\\Siempre Conectados\\yajrji.exe"="C:\\Documents and Settings\\Siempre Conectados\\yajrji.exe:*:Enabled:ENABLE"
"C:\\WINDOWS\\system32\\sgukw.exe"="C:\\WINDOWS\\s ystem32\\sgukw.exe:*:Enabled:ENABLE"
"C:\\Documents and Settings\\Siempre Conectados\\mmeq.exe"="C:\\Documents and Settings\\Siempre Conectados\\mmeq.exe:*:Enabled:ENABLE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOCUME~1\SIEMPR~1\ESCRIT~1\SDFix\backups\backup s.zip

Files with Hidden Attributes :

Thu 24 Jul 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 23 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7564047d f60fd0079d87159ef3eed933\BIT4F.tmp"
Wed 23 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e 78b88fd8276fd7d29cb7e4eb\BIT4D.tmp"
Tue 5 Aug 2008 59,904 A..H. --- "C:\_OTMoveIt\MovedFiles\08062008_161158\Docum ents and Settings\Siempre Conectados\yajrji.exe"

Finished!

y ahora??

Hola maccimus

El SDFix elimino unos malwares de tu pc, por lo tendrías que comentar si aun sigues con problemas??

Elimina esta carpeta:


Si sigues con problemas te haces un scanner con Kaspersky Online y pegas su reporte acá


Salu2

Por ahora esta funcionando muy bien, pero anda un poco leta.. recien borro la carpeta..
muchas gracias!!
cualquier cosa te aviso..

Hola maccimus

Se dará tú tema por solucionado, pero si llegase a surgir el mismo problema le das clic al botón del simbolito arriba del post: indicando el motivo por el cual deseas que reabran el tema


Salu2