Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas noches al foro; hace algunos veinte dias hice una desinfeccion de la que me quedo que antes de que inicie windows aparece una pantalla pequeña que tiene letras y cuadritos revueltos dice algo como esto c: program files/common files/microsoft shared/web server estensi.... y cambia antes de que pueda seguir tomando nota a windows/system32/atmlib.dll y si no le doy aceptar no comienza windows. El nero 6 me daba problemas para quemar discos asi que lo desinstale e instale la version 8 hasta ahi crei que estaba resuelto solo que de nuevo el nero esta dando el mismo tipo de sintomas (a veces me dice que no hay disco en la unidad o no lo quema) escanee con el panda en modo normal, salieron 8 infecciones en el registro de windos. Segui religiosamente los 11 pasos para una buena desinfeccion y a continuacion empece otro escaneo con el panda y con el active scan del norton (ambos en curso en este momento) los que ya me estan mostrando infecciones de nuevo. La maquina esta l e n t a l e n t a. de momento esto es lo que recuerdo. Y como que le agarre coraje a estos bichos necios.

Compañeros echenme una manita por favor.
P.D olvidaba mencionar que al cargar el escritorio se abre sola la carpeta donde guardo el arsenal contra virus que he bajado del foro

Que tal malu lara,

A.-Descarga y actualiza <Super AntiSpyware+ Leer_manual>

B.-Descarga y actualiza <Malwarebytes' Anti-Malware+ Leer_manual>

1.-Desactiva restaurar sistema
2.-Entra en modo seguro

• Ejecuta super antispyware

• Ejecuta Malwarebytes' Anti-Malware de la siguiente manera:
  • Realiza un examen completo
  • Elimina lo que consiga con la opcion de quitar todo lo seleccionado,
  • Reinicia el sistema (este paso es importante para eliminar lo que consiga)
  • Abre el programa y ubica el reporte en la pestaña "Registros" ("Logs" en ingles) abrelo y pegalo aqui

3.-Estando en modo normal ejecuta el CCleaner <Leer_manual>en su modo de limpiador y luego en la opcion de registro (realizando su respectiva copia de seguridad)

C-pasa el Ewido online <Leer_manual>Al finalizar marca Remove Infections, si no elimina todo guarda el reporte y peagalo junto a los otros reportes.

D.-pasa el Kaspersky online <Leer_manual> si usas firefox instala IE Tab., pega el log que te genere el kaspersky.

Regresa con los reportes e indicame como esta el paciente para recomendarte las acciones a tomar

Gracias Anleg 30

Rompiste record para contestar mira, tengo un par de dudas. las herramientas que mencionas ya las tengo en mi maquina, puedo usarlas con solo actualizarlas? ò ¿debo desinstalarlas, bajarlas, actualizarlas y ejecutarlas? que me recomiendas?

Sip, ya que estan en tu equipo puedes usarlas, tan solo actulizalas y ejecutalas

Buenas tardes anleg 30 tecomento:

Al iniciar en modo seguro tambien me salio una ventanita antes de que entrara el windows que decia: (cuadritos)INDOWS/system32/CatRoot(F750E6C3-38EE-11D!85E5-00... y dentro de la ventanita: C:Windows/System32/Digest.dll

Tengo el norton securityscan y me arrojo W32.Chir.B@mn con nivel alto

El malwarebytes salio limpio asi como el superantyspyware y el del ewido.

Te pongo el reporte del kaspersky.
KASPERSKY ONLINE SCANNER INFORME
sábado, 15 de noviembre de 2008 14:09:55
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 16/11/2008
Registros en la base antivirus: 1245071


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\
F:\

Estadísticas
Número de objeros analizados 75976
Virus encontrados 0
Objetos infectados 0 / 0
Objetos sospechosos 0
Duración del análisis 01:00:24

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Owner\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Owner\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Owner\Local Settings\Temp\TempFolder.aaa\Macromedia.lok Object is locked saltado

C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Owner\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Owner\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd1549.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.

La compu sigue lenta y eso de las ventanitas con cuadritos me intriga, de casualidad sabes a que se debe?

Espero tu respuesta. Tenkius so much.

Hola malu lara,

Aun no tengo claro si es por infección o por desconfiguración del sistema, porque los mensajes que te arrojan son archivos .dll validos del sistema.

.-Descarga y actualiza Dr. Web Cure-IT+Manual y ejecutalo como indica su manual.

Luego Realiza la siguiente limpieza:

• Descarga el CCleaner y el advaced windows care Herramientas - Info Spyware
  
  
• Ejecuta el ccleaner<Leer_manual>en su modo limpiador y en la opccion de registro (realizando su respectiva copia de seguridad)
  
  
• Ejecuta el advanced windows care <Leer_manual>
  
  
• Es recomendable que reinicies luego... .

A la vuelta me comentas si el Dr. Cueit encontró algo y como va el sistema

Disculpa, debo hacer los pasos que me sugieres en modo normal y sin desactivar restaurar sistema?

Que me dices acerca de la infeccion que encontre con el norton?

Estado del análisis:

Análisis: 1

Iniciar análisis: 11/14/08 18:08:53

Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\

Definiciones de virus: 11/15/08

Recuento del análisis: 158416

Riesgos detectados: 1

Riesgos resueltos: 0

Riesgos sin resolver: 1

Hora del análisis: 9966 s

Análisis completo: 11/14/08 20:54:59



Amenazas resueltas:



Amenazas sin resolver:

W32.Chir.B@mm

ID del virus: 33265

Riesgo: Alto

Categorías: Virus

Estado: No controlado

-----------

Infección:

c:\documents and settings\owner\local settings\application data\ares\my shared folder\gba roms - beyblade g revolution(2).exe

Archivo:

c:\documents and settings\owner\local settings\temp\~df1fc4.tmp

c:\documents and settings\owner\local settings\temp\~df8004.tmp

Registro:

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced->Hidden:1

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Advanced->Hidden:1

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced->HideFileExt:0

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Advanced->HideFileExt:0

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Advanced->SuperHidden:0

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Advanced->ShowSuperHidden:0

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->MinLevel:69632

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2->MinLevel:69632

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->MinLevel:69632

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\2->MinLevel:69632

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->RecommendedLevel:69632

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2->RecommendedLevel:69632

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->RecommendedLevel:69632

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\2->RecommendedLevel:69632

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->1004:3

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2->1004:3

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->1004:3

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\2->1004:3

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->1201:3

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2->1201:3

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\2->1201:3

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\2->1201:3

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Polic ies\Explorer->NoDriveTypeAutoRun:0

HKEY_USERS\S-1-5-21-796845957-1897051121-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer->NoDriveTypeAutoRun:0

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Polic ies\Explorer->NoDriveTypeAutoRun:0

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer->NoDriveTypeAutoRun:0








--------------------------------------------------------------------------

Hola,

El Dr.Cure-it lo ejecutas en Modo Seguro, desactiva el restaurar el sistema y al finalizar vuelves a activarlo, pero las otras herramientas para la limpieza la realizas en modo normal.

El archivo detectado por el norton esta en la carpeta del ares, entar a ella y eliminalo

c:\documents and settings\owner\local settings\application data\ares\my shared folder\gba roms - beyblade g revolution(2).exe

Si no vez la carpeta de ares, Habilita ver archivos ocultos y sigue l aruta hasta ella.


Me comentas los resultados a la vuelta, suerte

Gracias Anleg 30, te comento: estaba ejecutando el analisis de dr web en modo normal sin apagar restaurar sistema me salieron algunos virus entre ellos unos del sdfix y otro de spy bot (startpage) a uno le di mover y a otro eliminar o algo asi pero investigue un poco y resulta que son falsos positivos , cuando vi tu respuesta cancele el analisis y ahora me dispongo a seguir tus instrucciones, ya volvere con noticias, hasta entonces que pases buenas noches.

P.D Ya elimine c:\documents and settings\owner\local settings\application data\ares\my shared folder\gba roms - beyblade g revolution(2).exe

El dr web cure it me mostro esto; Process.exe;C:\sdfix\apps;Tool.Prockill;; no lo quise eliminar porque (salvo tu mejor opinion) pudiera ser un falso positivo, las ventanitas antes de iniciar windows continuan, asi como la carpeta de mi arsenal vs virus y otras pestes (ubicada en el escritorio) que se abre sola.
El advanced windos care lo corri varias veces hasta que se redujeron los problemas a solo 5 que tienen que ver con el sdfix y el spy bot s&d y el adobe reader updater, no me aparecio ocion para copiar o guardar reporte. A tus ordenes para hacer lo que sigue ahora pues ya por lo menos se cuelga menos. :dedoscruz

Hola malu lara,

Disculpa no haberte respondido antes, no pude.

El SDFix es un falso positivo, igual lo puedes eliminar no hay problema. Pero las ventanas al inicio me parecen mas bien problemas del propio windows y no malwares. y lo de la carpeta que se abre sola si es una llave del registro modificada o dañada del registro

Realiza un Scan Online con el Panda ActiveScan+Manualy pega el reporte que genere envolviendolo con la etiqueta CODE


Salu2...............>