Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola agueda.mercedes,

Comentanos aun sigues con los problemas ¿? ¿? ¿?

Hola sí sigo con los mismos problemas, El único cambio es que ahora Malwarebytes' Anti-Malware no detecta nada. Te agradezco si me podes orientar hacia una solución. Hasta pronto!

Has probado con el combofix se que no hay que recomendarlo asi nada mas ,pero a veces no hay mas solucion, pero asi como me dices me ha pasado que cualquier herramienta que me digan la ejecuto y arranca pero luego desaparece, no hay modo a prueba de fallos, ni ejecutar, ni gpedit ni regedit ni nada.
Mira todo eso lo puede activar tu pero no recuerdo bien que clave de registro debes poner en 1.
Pero para eso necesitas el regedit, asi que estos nuevos virus atacan donde mas duele.
Un dia puse mi duda pero nadie respondio.
La clave esta en el registro y en las directivas de windows (gpedit.msc)
Pero bueno recomiendo que utilices el combofix y el unlockreg por aqui andan y los puedes descargar.

Descarga RegUnlocker ejecutalod de la siguiente manera:

Pestaña Restricciones
activa la casilla de "eliminar restricciones del sistema."

Pestaña Reparadores
activa la casilla de "Repara el Modo Seguro (Modo a prueba de fallos)"

Pestaña Internet
activa la casilla de "Eliminar Sitios restringidos y/o de confianza de IE"
activa la casilla de "Restaura el archivo hosts de Windows por defecto"

Aplicas y Reinicias Ok.

.-Descarga Dr. Web Cure-IT+Manual ejecutalo como indica su manual y dejas su reporte.

Si puedes Realiza un Scan Online con el Panda ActiveScan+Manual y pega el reporte que genere envolviendolo con la etiqueta CODE


Omite lo que no puedas hacer, me dejas los reportes y me comentas que pudistes hacer y que no

Hola ! lo único que pude hacer fue pasar el regunlocker

-cuando intento pasar el dr. web se cierra Internet Explorer

-la página de Panda no se carga

PD acabo de volver a pasar el anti-malware y me da el siguiente reporte:

Malwarebytes' Anti-Malware 1.31
Versión de la Base de Datos: 1495
Windows 5.1.2600 Service Pack 2

12/12/2008 22:51:27
mbam-log-2008-12-12 (22-51-16).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 94783
Tiempo transcurrido: 29 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\kamsoft (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\vamsoft (Backdoor.Bot) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vamsoft.exe (Backdoor.Bot) -> No action taken.

NO ME PERMITE ENVOLVER EN CODE DISCULPA

Gracias

Hola agueda.mercedes,

Si te fijas en el reporte, el MalwareBytes te detecta las mismas infecciones que el primer reporte, quiere decir que estas volviendote a reinfectar

Abre el MalwareBytes y ve a la pestaña más herramientas y usa FileAssassin paar que ubiques y elimines estos archivos en caso de que existan:

C:\WINDOWS\system32\kamsoft.exe
C:\WINDOWS\system32\vamsoft.exe

Luego realiza los pasos de este Tema,, si no puedes hacer alguno, solamanete lo saltas y continuas con el resto ok.

A la vuelta me comentas que problemas te quedan y cuales se solucionaron para continuar

Salu2...................>

Hola ! Te cuento esos archivo ya los ahbía eliminado con "Fileassassin" o sea que ya no están.
luego volví a pasar "regunlocker" y pude entra en "modo a prueba de fallos" pero NO con conección en la red.
De ese modo pasé "Flash desinfector" luego "malware" que no encontró ninguna infección y lueg "Ccleaner" y borré todo.
Luego reinicié en el modo normal. ahora puedo ver los archivos ocultos, pero sigo sin poder ejecutar algunos programas Por ej. "CCleaner" y no puedo entra en la página de ningún antivirus y si pongo" buscar" la página sigue apareciendo vacía solo aparece el perro.

Tu me dirás como seguir gracias!

OK Realiza lo siguiente:

En modo normal descarga y genera un reporte del HijackThis 2.02 porfavor.

Salu2.......................>

Aqui va el reporte:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:54, on 16/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\usuario\Escritorio\av\SUPERAntiSpyware\SU PERAntiSpyware.exe
C:\WINDOWS\TEMP\winbwxp.exe
C:\WINDOWS\TEMP\wintvwpwn.exe
C:\WINDOWS\TEMP\winxekvn.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC2E6AB1-435B-4AF3-856C-C115501C1946}: NameServer = 200.40.220.245 200.40.30.245
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/usuario/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

--
End of file - 7021 bytes

Hola,

Has puesto como wallpaper (fondo de escritorio) esta imagen: clip_image002.jpg ¿?
Si no es así ubicala habilitando ver archivos ocultos y eliminala C:/DOCUME~1/usuario/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

Descarga OTMoveit3 + MANUAL

Ejecuta la Herramienta OTMoveIt:

• Haz doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que esté marcado "Unregister Dll's and Ocx's".
• Copia el texto que te dejo en el recuadrado de abajo, y
  pega el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved"

• Pulsa sobre MoveIt!para lanzar la supresión.
• Cuando el resultado aparezca en el marco Results, pulsa en Exit
• Reinicia (muy importante para eliminar todo)
• Se creará un reporte en C: \ _ OTMoveIt\MovedFiles con la extensión ".log" lo buscas y lo dejas en tu siguiente Post.

Descarga HostXpert.Zip
1.-Abre la herramienta HostsXpert.exe
2.-Pulsa en Restore MS Host File
3.-Acepta para hacer los cambios.


Me dejas el reporte del OTMoveit y verifica si puedes acceder a las paginas de antivirus Online.