Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, espero q me ayuden, revisé el foro y entré a revisar 2 temas q eran de este mismo troyano, pero era soluciones diferentes asi q prefiero preguntar

Me acabo de dar cuenta del troyano, y fue al intentar ver un video que descargué en Mayo, pero no había tenido tiempo de verlo, lo iba a cambiar de carpeta y me decía que no se podía porque estaba siendo ultilizado por un programa y nunca lo había abierto, asi q le pasé el NOD32 y ahí me detectó el troyano: "El sector MBR del disco físico 1 contiene (troyano) Win32/Mebroot.

Después de eso usé el spybot, teniendo la esperanza de q lo borrara y nada...luego con el nod usé la opción de analizar y desinfectar, pero sigue estando ahí.

Mi PC anda lento ultimamente y no tenía idea por qué...pero supongo q es por el troyano

Gracias =)

Hagamos una revision con algunos de estos antivirus online que te mostrare a continuacion y asi sabremos donde estan las infecciones en tu pc y proceder a eliminarlas.(Recomiendo el Karpesky).

Escaneo de Virus Online

En sistemas Windows Me, XP o Vista es fundamental Apagar el Restaurar Sistema.

En caso de tener un virus que no lo elimine de forma automática, (si usa conexión de ADSL o Cable) Iniciar el sistema pulsando F8 y entrar en modo a prueba de fallos (modo seguro) pero con conexión a la red.
Si desea que analicemos su reporte, antes de realizar el análisis online deberá limpiar el sistema de cookies y temporales, para ello puede utilizar el programa ATF-Cleaner o CCleaner marcando todas las opciones; esto hará el reporte más prolijo y nos facilitará el análisis.

Espero el reporte para luego proceder a evaluarlo.

Si usas Firefox como navegador recuerda usar la extencion IE Tab para poder realizar algun scanner online.

gracias :) aqui esta el informe ^^, espero q me respondas luego

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
viernes, 22 de agosto de 2008 18:30:06
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 22/08/2008
Registros en la base antivirus: 1124426
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
G:\

Estadísticas:
Número de objeros analizados: 71758
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 05:50:20

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080822200808 23\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\cmdow.exe Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

El reporte esta limpio , pero sigue estos pasos y me cuentas:

• Descarga y actualiza SUPERAntiSpyware
• Descarga CCleaner

1. Desactiva Restaurar Sistema
   
2. Reinicia en Modo Seguro
   
3. Ejecuta SUPERAntiSpyware y limpia lo que encuentre.
   
4. Haz una Limpieza con CCleaner, usa la opción Limpiador para borrar cookies y temporales, y la opción Registro para efectuar una limpieza del registro de Windows.
   
5. Reinicia en Modo Normal y pasa Ewido on line, pegando aquí el reporte que genere. Recuerda usar la opción Remove Infections para eliminar lo que encuentre.
   
   
   Una vez que termines los pasos, vuelve a activar Restaurar Sistema

seguro esta limpio???

porque me dice q un archivo esta infectado

C:\WINDOWS\system32\cmdow.exe Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado

igual hare lo q me dijiste y pego el log

Es un archivo dudoso pero sin riesgo algunos, muchos dicen que es un troyano otros dicen que no y en parte no pertenece al sistema pero como te dije es de riesgo bajo no tiene ningun problema, pero para salir de dudas si quieres borralo

Hola Miwako,

Con el permiso de Firewall, puede realizar lo siguiente, solo para salir de las dudas?

• Descarga SDFix.exe, guardalo en el escritorio.
  • Reinicia en modo seguro.
• Abra la carpeta donde extrajo SDFix doble clic "RunThis.bat" para iniciar la secuencia de comandos.
• Presiona la Letra "Y" para continuar.
• Espera a que termine el proceso de Limpieza.
• Presiona Una tecla para que sea reinciado el Sistema.
• Para que el PC se reinicie ,para completar el proceso , pulse cualquier tecla
• Al Termina Se abrira una Block de Notas con el Nombre de Report.txt
• Copiar y pegar el contenido de ese reporte aqui mismo.

Salu2!

y no habra algun problema si lo borro?



gracias ^^ aqui esta el log

SDFix: Version 1.218
Run by Administrador on 22/08/2008 at 19:29

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\Documents and Settings\Administrador\Escritorio\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found



si no es troyano porque el nod dice q si? :S

es que no pego completamente el reporte de SDFix.

Salu2!

eso fue todo lo q salio :S