Buenas noches.

Quisiera que me ayudaran a eliminar este virus W32.Spybot.Worm que me ha salido al pasar la versión gratuita del Norton (no lo elimina). Y si pudiera ser, que también me ayuden a eliminar el hotbar.

Les adjunto el reporte del Norton. Creo que se puede poner aquí, pero si no es así les pido disculpas.

Muchas gracias de antemano.



Estado del análisis:

Análisis: 1

Iniciar análisis: 09/28/08 19:17:44

Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\;D:\

Definiciones de virus: 09/28/08

Recuento del análisis: 435911

Riesgos detectados: 2

Riesgos resueltos: 0

Riesgos sin resolver: 2

Hora del análisis: 10743 s

Análisis completo: 09/28/08 22:16:48



Amenazas resueltas:



Amenazas sin resolver:

Adware.Hotbar

ID del virus: 4294905910

Riesgo: Bajo

Categorías: Software de publicidad no deseada

Estado: No controlado

-----------

Registro:

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\System

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}

HKEY_USERS\S-1-5-19\Software\sbusa

HKEY_USERS\S-1-5-20\Software\sbusa

HKEY_USERS\.DEFAULT\Software\sbusa

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\sbusa

HKEY_USERS\S-1-5-19\Software\ShoppingReport

HKEY_USERS\S-1-5-20\Software\ShoppingReport

HKEY_USERS\.DEFAULT\Software\ShoppingReport

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\ShoppingReport

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3->1601:1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9473559B-50FC-4A8A-829B-E152E8D6A307}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser->{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}

HKEY_CLASSES_ROOT\AppID\HotbarSA_df.exe

HKEY_CLASSES_ROOT\AppID\{C9FA63D4-915C-45f4-B992-0BD9D6B1324B}

HKEY_CLASSES_ROOT\Interface\{E20524A2-EB9C-4006-88BB-4F57E753523B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{68354AD6-AC7E-4fe3-A19B-8F8E70AB4252}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{CB8D2126-F409-4a5b-8357-F9161922AB1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{D10C4DB6-CB02-40f4-88EE-C0B64C02ADFC}





W32.Spybot.Worm

ID del virus: 34750

Riesgo: Alto

Categorías: Virus

Estado: No controlado

-----------

Infección:

c:\my download files\my games\risk\googlestubinst.exe

Registro:

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->Firewall Controls

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->Firewall Controls

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunServices\->Firewall Controls

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Run Services\->Firewall Controls

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\->Firewall Controls

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->246545

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->665578

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->7686743

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->rrrun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\->Microsoft Visual Application

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List\->C:\WINDOWS\system32\dllcache\winsno.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->ATI Video Driver Controls

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->ATI Video Driver Controls

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunServices\->ATI Video Driver Controls

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Run Services\->ATI Video Driver Controls

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->Microsoft Directxsp

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunSe rvices\->Microsoft Directxsp

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunServices\->Microsoft Directxsp

HKEY_USERS\S-1-5-21-2185808022-1186106189-3198116059-1006\Software\Microsoft\Windows\CurrentVersion\Run Services\->Microsoft Directxsp

HKEY_CLASSES_ROOT\CLSID\{1C047C97-CA7F-BAF1-05A4-AEBA271281ED}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\->ATI Video Driver Controls

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\->Microsoft Directxsp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\->ATI Video Driver Controls

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\->Microsoft Directxsp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->1123

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\->112

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\->Start:4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\WindowsUpdate\Auto Update->AUOptions:3

Infección:

c:\my download files\my games\snowy - lunch rush\googlestubinst.exe

c:\my download files\my games\the rise of atlantis\googlestubinst.exe

c:\my download files\my games\wheel of fortune 2\googlestubinst.exe

c:\my download files\my games\burger island\googlestubinst.exe

c:\my download files\my games\chocolatier\googlestubinst.exe

c:\my download files\my games\g.h.o.s.t. hunters\googlestubinst.exe

c:\my download files\my games\mahjong world\googlestubinst.exe

c:\my download files\my games\mortimer beckett and the secrets of spooky manor\googlestubinst.exe

c:\my download files\my games\nanny mania\googlestubinst.exe

c:\my download files\my games\posh shop\googlestubinst.exe

c:\my games\super jigsaw adorable animals 2\googlestubinst.exe








--------------------------------------------------------------------------

Realiza lo siguiente:


Paso 1).- Realiza un escaneo con Dr. Web actualizado en modo a prueba de fallos, y dinos si encontro algo: Manual de Dr. Web Cure-IT

Paso 2).- Realiza un escaneo con superantispyware actualizado por completo en modo a prueba de fallos: Manual del SUPERAntiSpyware

Paso 3).- Realiza un escaneo con SDFIX: Manual de SDFix @ AndyMachesta

Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Paso 4).- Y descargate y/o actualiza el CCleaner y pasalo en modo a prueba de fallos: Manual de CCleaner.


Nota:


Desactiva la restauracion de sistema momentaneamente, ver enlace: Listado de procedimientos

Reinicia en Modo Seguro, ver el siguiente enlace: http://http://www.forospyware.com/t6...tml#post292284 (Si esta opción se encuentra bloqueda/dañada, omita el paso)

Hay mas herramientas de seguridad por si las anteriores herramientas no eliminaron a los virus.


Saludos.

Buenas tardes.

Ya me he pasado todo lo que me habeis dicho. Ahora me volveré a pasar otra vez el Norton para ver si sigue saliendo el troyano que salía antes.

En el Dr. Web encontró "Trojan.MulDrop.origin" en "C:\Archivos de programa\winbond\w89c33".

El registro del SDFix es el siguiente:


SDFix: Version 1.231
Run by EMILIO on 11/10/2008 at 19:19

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 19:42:35
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BTHPORT\Parameters\Keys\00081b01425f]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B THPORT\Parameters\Keys\00081b01425f]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\ \system32\\sessmgr.exe:*:enabled:Asistencia remota"
"C:\\Archivos de programa\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Archivos de programa\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:enabled:Microsoft Flight Simulator 2004"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\ \system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Archivos de programa\\NetMeeting\\Conf.exe"="C:\\Archivos de programa\\NetMeeting\\Conf.exe:*:enabled:NetMeetin g"
"C:\\Archivos de programa\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Archivos de programa\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Archivos de programa\\PPStream\\PPStream.exe"="C:\\Archivos de programa\\PPStream\\PPStream.exe:*:Enabled:PPStrea m P2P??????"
"C:\\Archivos de programa\\tvants\\Tvants.exe"="C:\\Archivos de programa\\tvants\\Tvants.exe:*:Enabled:Tvants"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\WINDOWS\\system32\\mshta.exe"="C:\\WINDOWS\\s ystem32\\mshta.exe:*:Disabled:Microsoft (R) HTML Application host"
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"="C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe:*:Disabled:HP Software Update Client"
"C:\\Archivos de programa\\PPLive\\PPlive.exe"="C:\\Archivos de programa\\PPLive\\PPlive.exe:*:Enabled:PPLive"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Grisoft\\AVG Free\\avginet.exe"="C:\\Archivos de programa\\Grisoft\\AVG Free\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Archivos de programa\\Grisoft\\AVG Free\\avgamsvr.exe"="C:\\Archivos de programa\\Grisoft\\AVG Free\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Archivos de programa\\Grisoft\\AVG Free\\avgcc.exe"="C:\\Archivos de programa\\Grisoft\\AVG Free\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Archivos de programa\\Internet Explorer\\iexplore.exe"="C:\\Archivos de programa\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Archivos de programa\\TVUPlayer\\TVUPlayer.exe"="C:\\Archivos de programa\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVUPl ayer Component"
"C:\\Archivos de programa\\5 Spots\\5_spots.exe"="C:\\Archivos de programa\\5 Spots\\5_spots.exe:*:Enabled:5_spots"
"C:\\Archivos de programa\\GameTap\\bin\\Release\\gametap.exe"="C:\ \Archivos de programa\\GameTap\\bin\\Release\\gametap.exe:*:Ena bled:GameTap Application"
"C:\\Archivos de programa\\Yahoo! Games\\Yahoo! Ten Pin Championship Bowling\\Yahoo Ten Pin Championship Bowling.exe"="C:\\Archivos de programa\\Yahoo! Games\\Yahoo! Ten Pin Championship Bowling\\Yahoo Ten Pin Championship Bowling.exe:*:Enabled:Skyworks Ten Pin Championship Bowling"
"C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe"="C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.e xe"
"C:\\Archivos de programa\\GameHouse\\WildWords\\wwwords.exe"="C:\\ Archivos de programa\\GameHouse\\WildWords\\wwwords.exe:*:Disa bled:Super Wild Wild Words"
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\ \system32\\sessmgr.exe:*:enabled:Asistencia remota"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\Archivos de programa\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Archivos de programa\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:enabled:Microsoft Flight Simulator 2004"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\ \system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Archivos de programa\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Archivos de programa\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Archivos de programa\\NetMeeting\\Conf.exe"="C:\\Archivos de programa\\NetMeeting\\Conf.exe:*:enabled:NetMeetin g"
"C:\\Archivos de programa\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Archivos de programa\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
Sat 22 Mar 2008 720,896 A..H. --- "C:\My Games\Snowy - Treasure Hunter\TreasureHunter.exe"
Mon 13 Feb 2006 8 ..SHR --- "C:\WINDOWS\system32\0D2860787F.sys"
Mon 13 Feb 2006 5,224 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 22 Jun 2008 175,430 ...H. --- "C:\Archivos de programa\Yahoo! Games\Airport Mania - First Flight\Uninstall.exe"
Sun 22 Jun 2008 130,810 ...H. --- "C:\Archivos de programa\Yahoo! Games\Camp Funshine - Carrie the Caregiver 3\Uninstall.exe"
Sun 22 Jun 2008 178,576 ...H. --- "C:\Archivos de programa\Yahoo! Games\Cooking Academy\Uninstall.exe"
Sun 22 Jun 2008 157,305 ...H. --- "C:\Archivos de programa\Yahoo! Games\The Lost Cases of Sherlock Holmes\Uninstall.exe"
Sun 22 Jun 2008 144,290 ...H. --- "C:\Archivos de programa\Yahoo! Games\Women's Murder Club - Death in Scarlet\Uninstall.exe"
Thu 8 Sep 2005 117,248 A.SHR --- "C:\eml\TomTom 6.02\Archivos por si falla el sonido\BtCoreIf.dll"
Thu 8 Sep 2005 182,272 A.SHR --- "C:\eml\TomTom 6.02\Archivos por si falla el sonido\BtSdkCE30.dll"
Sat 11 Oct 2008 84 A..H. --- "C:\Archivos de programa\Common Files\X10\Common\x10prod.sys"
Mon 25 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!


Muchas gracias por la ayuda.

Realiza un escaneo con los antivirus online kaspersky y panda active scan 2.0 teniendo la restauracion de sistema desactivado:


Foro de Spyware - Avisos en Foro : Foro de Virus y Spywares

Not:
cuando escanees con el kaspersky elige para escanear la opcion: Mi Pc.
Y peganos los informes de cada uno al final.

Desactiva la restauracion de sistema momentaneamente, ver enlace: Listado de procedimientos

Saludos.

Aquí están los informes del Kaspersky y del Panda.

- Kaspersky:

KASPERSKY ONLINE SCANNER INFORME
domingo, 12 de octubre de 2008 2348
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 12/10/2008
Registros en la base antivirus: 1169125


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\
E:\

Estadísticas
Número de objeros analizados 200753
Virus encontrados 1
Objetos infectados 16 / 0
Objetos sospechosos 0
Duración del análisis 03:03:32

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\CA\Etrust Antivirus\DB\rtmaster.dbf Object is locked saltado

C:\Archivos de programa\CA\Etrust Antivirus\DB\rtmaster.ntx Object is locked saltado

C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLML_MAIN \CLML.db Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\muvee Technologies\030625\0237\0192\values Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp13.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp13.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp15.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp15.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp19.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp19.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp21.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp21.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp3.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp3.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp7.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp7.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp9.zip/cftmon.exe Infectados: Trojan.Win32.FraudPack.gen saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp9.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\EMILIO\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\EMILIO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\EMILIO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\EMILIO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\EMILIO\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\EMILIO\Configuración local\Temp\WCESLog.log Object is locked saltado

C:\Documents and Settings\EMILIO\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\EMILIO\Datos de programa\$_hpcst$.hpc Object is locked saltado

C:\Documents and Settings\EMILIO\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\EMILIO\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\TEMP\CLML_AGENT_LOG1.txt Object is locked saltado

C:\WINDOWS\TEMP\sqlite_Qbf3eBP0Q4gdht1 Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.



- Panda:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-10-13 02:04:38
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 6
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
eTrust EZ Antivirus 7 7.1 No Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00055522 Eicar.Mod Virus No 0 No No C:\Archivos de programa\PestPatrol\Help.chm[/HowCanITestDetection.html]
00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\EMILIO\DoctorWeb\Quarantine\Process.exe
00139535 Application/Processor HackTools No 0 No No F:\SDFix.exe[F:\SDFix.exe][SDFix\apps\Process.exe]
00186187 adware/dudu Adware No 0 Yes No hkey_local_machine\software\dudu
01176994 Bck/VB.XB Virus/Trojan No 0 No No F:\ComboFix.exe[327882R2FWJFW\NirCmdC.cfexe]
03738686 Generic Malware Virus/Trojan No 0 No No F:\SDFix.exe[F:\SDFix.exe][SDFix\apps\Cghtme.exe]
03738686 Generic Malware Virus/Trojan No 0 No No F:\SDFix.exe[F:\SDFix.exe][SDFix\catchme.exe]
03738686 Generic Malware Virus/Trojan No 0 No No F:\ComboFix.exe[327882R2FWJFW\catchme.cfexe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location x
;================================================= ================================================== ================================================== ==============================
No C:\Archivos de programa\Zylom Games\Gold Rush - Treasure Hunt Deluxe\goldrush2.dll x
No C:\Archivos de programa\Zylom Games\Mirror Magic Deluxe\mirrormagic.dll x
No C:\Archivos de programa\Zylom Games\Pastry Passion Deluxe\pastrypassion.dll x
No C:\Archivos de programa\Zylom Games\Rainbow Web 2 Deluxe\rainbowweb2.dll x
No C:\Archivos de programa\Zylom Games\Trivial Pursuit Family Edition\trivialpursuitfe.dll x
No C:\Archivos de programa\Zylom Games\Trivial Pursuit The 80s Deluxe\trivialpursuiteighties.dll x
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description x
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Elimina los siguientes archivos en modo a prueba de fallos si es posible y con la restauriacion de sistema desactivado momentaneamente y luego de eso realiza de nuevo otro escaneo con kaspersky eligiendo la opcion Mi Pc logicamente y elegir la opcion extendido y no el standard.

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip/cftmon.exe

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip ZIP

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp13.zip/cftmon.exe
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp13.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp15.zip/cftmon.exe

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp15.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp19.zip/cftmon.exe
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp19.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp21.zip/cftmon.exe

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp21.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp3.zip/cftmon.exe
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp3.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp7.zip/cftmon.exe
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp7.zip
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp9.zip/cftmon.exe

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp9.zip
C:\Archivos de programa\PestPatrol\Help.chm[/HowCanITestDetection.html]

C:\Documents and Settings\EMILIO\DoctorWeb\Quarantine\Process.exe

F:\SDFix.exe[F:\SDFix.exe][SDFix\apps\Process.exe]


Ejemplo:

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip/cftmon.exe

aqui eliminas el archivo: cftmon.exe siguiendo la ruta anterior por ejemplo

Realiza lo siguiente:


Paso 1).- Realiza un escaneo con Delpsguard: Manual DelPSGuard


Paso 2).-Realiza un escaneo con AVG antispyware totalmente actualizado en modo a prueba de fallos, aqui esta el enlace: [Descontinuado] Manual AVG anti spyware 7.5 - Ewido antispyware 4


Paso 3).-Realiza un escaneo con Malwarebytes actualizado y en modo a prueba de fallos: Malwarebytes' Anti-Malware aqui esta el enlace: Manual de Malwarebyte's Anti-Malware y peganos el informe.


Nota:


Desactiva la restauracion de sistema momentaneamente para esta situacion, ver enlace: Listado de procedimientos


Reinicia en Modo Seguro, ver el siguiente enlace: Listado de procedimientos (Si esta opción se encuentra bloqueda/dañada, omita el paso)


Hay mas herramientas de seguridad por si las anteriores herramientas no eliminaron a los virus.



Saludos.