Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola! No me doy quitado de encima un virus gusano de esos que me ha entrado via msn. ME cierra las ventanas del msn y les dice a mis contactos que miren una foto de mi hermana xD.
He probado con el msncleaner y nada, he pasado varios antivirus y tampoco y revisando temas solucionados he visto un caso similar solucionado pero le mandan eliminar un archivo con un programa (el ot... no me acuerdo del nombre) y en mi system32 no aparece tal archivo asi q mejor no toco hasta q me digan.

Por favor ayuda!
Muchas gracias y saludos.

Bueno descarga el Malware bytes anti malware desde aquí

Luego lo tenes que actualizar y despues hacer un chequeo de la Pc.
Cuando termine el chequeo te entrega un LOG, copialo y pegalo acá.

Espero tu respuesta :)

Realiza las siguientes tareas por pasos:

Paso 1).- Elimina cookies y temporales de internet.

* Dale clic en Inicio ==> Panel de control ==> Conexiones de red e Internet > Opciones de Internet ==> General
* En Historial de Exploracion pulsa en la opcion "Eliminar archivos" => Marca "Eliminar todo el contenido sin conexion".
* En Archivos Temporales de Internet pulsa en "Eliminar archivos". En Cookies pulsa en "Eliminar cookies".
* Clic en Aplicar ==> Aceptar.

Paso 2).- Descarga y/o actualiza; pero no ejecutes aun:

* CCleaner aqui esta el enlace: Manual de CCleaner.
* MSNCleaner aqui esta el enlace: Eliminar Malwares de MSN (Mensajería Instantanea).
* Malwarebytes' Anti-Malware aqui esta el enlace: Manual de Malwarebytes' Anti-Malware.
* Superantispyware aqui esta el enlace: Anti-Spywares - Info Spyware


Paso 3).- Reinicia en Modo Seguro, ver el siguiente enlace: http://www.forospyware.com/292284-post4.html(Si esta opción se encuentra bloqueda/dañada, omita el paso)
Desactiva la restauracion de sistema, ver enlace: Listado de procedimientos


Paso 4).- Ejecuta de a uno a la vez:


1. Malwarebytes' Anti-Malware (Realiza un examen completo y elimina lo que este encuentre en lo posible en modo seguro).
2. MSNCleaner.
* Selecciona las opciones:
o Eliminar Archivos Temporales.
o Restaurar Archivo Host.
o Desbloquear el Navegador Internet Explorer al analizar.
o Habilitar el Administrador de Tareas, Panel de Control, Regedit,..... Entre otros al analizar.
* Pulsa en Analizar.

3. CCleaner, usa la opción Limpiador para borrar cookies y temporales, y la opción Registro para efectuar una limpieza del registro de Windows (es recomendable hacerlo en modo seguro)

Paso 5).- Ejecuta la herramienta superantispyware en modo seguro.

Paso 6).- Reinicia en Modo Normal y realiza un analisis completo con kaspersky antivirus online y luego con panda active scan 2.0 y nos pegas los informes de cada uno:

Foro de Spyware - Avisos en Foro : Foro de Virus y Spywares


Nota:

- Pega los reportes de MSNCleaner, Malwarebytes,kaspersky y Panda.

- Para mayor comodidad imprime los pasos o anotalos en un papel.

-Y comentanos si hubo alguna mejoria.


Saludos.

Lo primero muchas gracias por tu ayuda.


Le di a quitarlos con el malwarebytes pero sigue vivo el virus.


Ahi va el log antes de darle a quitar los elementos maliciosos:

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1190
Windows 5.1.2600 Service Pack 2

22/09/2008 15:16:07
mbam-log-2008-09-22 (15-15-48).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 115352
Tiempo transcurrido: 35 minute(s), 3 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Windows Update (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\MSN6.1 Auto-Updater (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce\system (Heuristics.Reserved.Word.Exploit) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce\windows update (Heuristics.Reserved.Word.Exploit) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\drivers\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.


Y después de darle a reparar el asunto:

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1190
Windows 5.1.2600 Service Pack 2

22/09/2008 15:16:33
mbam-log-2008-09-22 (15-16-33).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 115352
Tiempo transcurrido: 35 minute(s), 3 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Windows Update (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\MSN6.1 Auto-Updater (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce\system (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce\windows update (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully

Hola Lord_Calgar bienvenido al foro de Infospyware.

Realiza lo siguiente:

1. Descarga y ejecuta Ccleaner.
   • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
   • Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
   
   
2. Realiza un análisis completo de Pc con Kaspersky Online Scanner.

*Nota*
- Pega el reporte de Kaspersky en este tema.

Saludos.

Ahi va el report del Kaspersky despues de pasar el ccleaner:
Monday, September 22, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, September 22, 2008 14:53:54
Records in database: 1250477


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
E:\
F:\
G:\
H:\

Scan statistics
Files scanned 78068
Threat name 10
Infected objects 12
Suspicious objects 0
Duration of the scan 01:48:55

File name Threat name Threats count
C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140\CodecP ackElisoft140.exe Infected: not-a-virus:AdWare.Win32.Gator.4104 1

C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140.zip Infected: not-a-virus:AdWare.Win32.Gator.4104 1

C:\Archivos de programa\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.632 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\bitdefender\Bit Defender IS KEYGEN.exe Infected: Trojan-Downloader.Win32.Delf.mly 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: P2P-Worm.Win32.Insta.a 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: not-a-virus:RiskTool.Win32.PsKill.1101 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: Trojan.Win32.EliteBar.a 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: Trojan.Win32.Pakes.aey 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: not-a-virus:AdWare.Win32.EZula.bg 1

C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe Infected: Trojan.Win32.Pakes.amv 1

C:\Documents and Settings\Manuel\Mis documentos\My Completed Downloads\mirc632.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.632 1

The selected area was scanned.

Este es el reporte que me aparecio
pero no me borro el virus todavia
desde ya muchas gracias


Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1192
Windows 5.1.2600 Service Pack 2

22/09/2008 01:57:50 p.m.
mbam-log-2008-09-22 (13-57-50).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 80457
Tiempo transcurrido: 1 hour(s), 5 minute(s), 46 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Windows Update (Backdoor.Bot) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Documents and Settings\Juan Silva\Mis documentos\Programas\Corel Draw X4\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

y esto me dice el panda:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-09-22 19:41:21
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 2
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Eset NOD32 antivirus system 2.50 2.50 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00018331 adware/gator Adware No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C 0-0DA1-11D5-A9D5-00500413153C}
00018331 adware/gator Adware No 0 Yes No hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location Qu
;================================================= ================================================== ================================================== ==============================
No C:\Archivos de programa\mIRC\mirc.exe Qu
No C:\Archivos de programa\VersalSoft\InternetDownload\VDTB.dll Qu
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description Qu
;================================================= ================================================== ================================================== ==============================
184380 MEDIUM MS08-002 Qu
184379 MEDIUM MS08-001 Qu
133387 MEDIUM MS06-065 Qu
;==========================================

Hola.

Haz lo siguiente:

• Descarga OTMoveIt2 by OldTimer en el escritorio.
  • Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
  • Asegúrate que este marcado "Unregister Dll's and Ocx's".
  • Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Files / Folders to be moved.
  Código HTML:

  HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C 0-0DA1-11D5-A9D5-00500413153C}
  hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
  C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140\CodecP ackElisoft140.exe 
  C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140.zip 
  C:\Archivos de programa\mIRC\mirc.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\bitdefender\Bit Defender IS KEYGEN.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe 
  C:\Documents and Settings\Manuel\Mis documentos\My Completed Downloads\mirc632.exe 
  EmptyTemp 
  purity 
  

  • Haz clic en el botón rojo MoveIt! para lanzar la supresión.
  • Cuando el resultado aparezca en el marco Results, haz clic en Exit.
  • Reinicia el PC (Este paso es muy importante)
  • Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

- Nos comentas.

Salu2!.

Ahi va el report del OT. El virus sigue vivo.

< HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C 0-0DA1-11D5-A9D5-00500413153C} >
Registry key HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C 0-0DA1-11D5-A9D5-00500413153C}\\ not found.
< hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} >
Registry key hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}\\ not found.
File/Folder C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140\CodecP ackElisoft140.exe not found.
C:\Archivos de programa\eMule\Incoming\CodecPackElisoft140.zip moved successfully.
C:\Archivos de programa\mIRC\mirc.exe moved successfully.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\bitdefender\Bit Defender IS KEYGEN.exe not found.
C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe moved successfully.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
File/Folder C:\Documents and Settings\Manuel\Mis documentos\Mis documentos\install.exe not found.
C:\Documents and Settings\Manuel\Mis documentos\My Completed Downloads\mirc632.exe moved successfully.
< EmptyTemp >
File delete failed. C:\DOCUME~1\Manuel\CONFIG~1\Temp\etilqs_gv5YMIPbeX vDGxEehLTB scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Manuel\CONFIG~1\Temp\~DF4B39.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
< purity >

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09232008_122819

Files moved on Reboot...
File C:\DOCUME~1\Manuel\CONFIG~1\Temp\etilqs_gv5YMIPbeX vDGxEehLTB not found!
C:\DOCUME~1\Manuel\CONFIG~1\Temp\~DF4B39.tmp moved successfully.