Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos al foro.
Espero alguien pueda ayudarme con mi problema.

Hace como un mes o dos, no recuerdo exactamente, mi computadora
( Con Windows XP version 2002 Service Pack 2 )
empezò a comportarse muy extrañamente. Al bajar adjuntos en la ventanita
donde te dice cuanto lleva descargado y a que velocidad, aparecian intermi-
tentemente unos cuadrados chiquitos en vez de las letras y los nùmeros.

Buscando en Internet encontrè un programa llamado Prevx CSI.exe, y al
correrlo encontrò las siguientes infecciones:

C:/WINDOWS/system32/AppCert//wsi32.dll este como Malicious Software

C:/WINDOWS/system32/drivers/gmsucegu.sys este como Rootkit

Lo malo es que requiere licencia para limpiar los infectados (Creeran que es
seguro arriesgarse a usar la tarjeta de crèdito para comprar una licencia, ja,
si como no.)

Un dia sin querer puse que abriera los archivos .sys con el bloc de notas, y al
volver a correr el Prevx me encontrò solamente el wsi32.dll y parece que se
habìa solucionado el problema. Pero a los 2 o 3 dìas volviò a aparecer el
gmsucegu.sys pero ahora no como Rootkit sino como Malicious Software.

Tambièn bajè el F-Secure Internet Security, pero parece que al tratar de
actualizarlo no completaba la actualizaciòn. El ùnico que encontrò fue este
Exploit.SWF.Downloader.ks (virus) y lo renombrò.
Por cierto el Antivirus que estaba utilizando es el Panda Antivirus + Firewall 2008,
en marzo se me termina la licencia, pero no la voy a renovar ya que el Panda
hace lenta la computadora.
Me han recomendado el Kaspersky, que piensan ustedes
o què antivirus me recomiendan?

Entonces investigando llegue a su sitio y al buscar sobre Rootkits y Malware bajè
el programa que recomiendan en el foro: Malwarebytes' Anti-Malware

Ya tenìa yo el Spybot S&D y el Ad-Aware SE, pero èstos no encontraron nada.

En cambio con el Malwarebytes detectò lo siguiente:

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 9
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Ficheros Infectados: 9

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\jnqpbad.dll (Trojan.Vundo.H) -> Delete on reboot.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{644310f4-213b-49db-a84c-554bb5729dbb} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cgkpkelq (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{644310f4-213b-49db-a84c-554bb5729dbb} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\y eohrdde (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\y eohrdde (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\y eohrdde (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\yeohrdde (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{644310f4-213b-49db-a84c-554bb5729dbb} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.Search) -> Bad: (http://www.iesearch.com/) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\WINDOWS\system32\AppCert (Trojan.Downloader) -> Quarantined and deleted successfully.

Ficheros Infectados:
c:\WINDOWS\system32\jnqpbad.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rhjsslg.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\AppCert\filter.drv (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\hb241g.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\options.dat (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\prx992h.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\s52.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\snf50.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\snf51.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

(EN ESTA LISTA NO APARECE EL ARCHIVO INFECTADO gmsucegu.sys QUE EN EL PREVX SIGUE APARECIENDO)

Y al dia siguiente todo funcionaba bien, por ejemplo los archivos .flv se veian sin interrupciones.
Pero esa misma noche al conectarme a Internet y bajar algunos adjuntos de mi cuenta
de correo electronico volvi a ver los cuadritos en las ventanas y entonces decidi postear
mi caso en el foro. Ya que tengo claves de registro en cuarentena y no quiero moverle a
las claves de registro ni borrarlas. Espero me puedan ayudar.
Ahora me di cuenta de que no solamente tengo Rootkits sino Trojan downloaders y el
tal Vundo. Gulp.

Tambièn bajè e instale el programa SpywareCease y encontro lo siguiente:
15 amenazas y 24 infecciones:
Backdoor.Win32.Delf.jys
Trojan-PSW.Win32.QQPass.cts
Virus.Win32.Virut.a
Virus.Win32.Virut.n
Net-Worm.Win32.Mytob.t
FraudTool.Win32.VRL.9
Backdoor.Win32.Hupigon.elub
Trojan-Downloader.Win32.Delf.oyx
FraudTool.Win32.SpywarePreventer.y
Trojan-Downloader.Win32.Def.oyn
Grokster.Reg
IMesh.Reg
Limewire.Reg
(Ya desinstale los programas I-Mesh y Limewire)
Trojan-Dropper.Win32.Agent.aabp
TODOS ESTOS EN EL REGISTRO).

Parece que tambièn hay problemas con el winlogon.

P.D. Quiero saber si me conviene hacer un respaldo de archivos, o si
me espero a solucionar el problema y entonces respaldar mis
archivos ya sin virus (para no volver a envirularla).

Agradezco de antemano la ayuda. Y espero que todos los del Foro
hayan pasado una Feliz Navidad y pasen un excelente Año 2009
(Aunque las espectativas econòmicas no sean muy alentadoras).

hola

sigue estos pasos por favor:

*ejecuta estas herramientas como lo indica su manual:

delpsguard

* vundo fix

ejecuta de a una las herramientas.

por ultimo realisa un escan con el kasperzky on line como lo indica su manual y pegas aca el reporte , si usas firefox como navegador deves usar iie tab.

saludos.

Hola anoika

Hice todo lo que me dijiste, pase el delpsguard y el vundo fix.
y despuès puse el Kaspersky online, aunque solo
escaneo las areas criticas y parece que no hay
virus. Le estoy dando un escaneo completo, pero parece
que va a durar todo el dìa.

Ya entro rapido a Windows, y al ir iniciando
me manda 1 o 2 mensajes del Crash Doctor.
Y una vez dentro de Windows no puedo accesar a ningun programa,
ni siquiera al explorador de Windows.

He estado navegando en modo a prueba de fallos.

Què hago con lo que tengo en cuarentena en Malwarebytes?
Los borro?
Aun que me lo pienso por que hay claves del registro.

Al reiniciar en modo seguro parece que hicieron una particiòn.
Què pasò aquì?

Y siguen apareciendo en las ventanas donde sale el porcentaje
de lo que se va descargando los cuadritos y otros caracteres raros.
Esto solamente desde mi cuenta de correo.

Ah, y algo màs cuando abro algunos archivos de word, no tarda mucho
y lo cierra, y me dice que word lo recuperarà. Otros archivos de Word sì los
puedo abrir, pero me separa las vocales automaticamente.
Esto estando en modo a prueba de fallos.

Salu2

vamos por parte primero pega el reporte del kasperzky y vemos que medidas tomar ya que si te indico algún otro paso solo demoraremos mas el proseso del kasperzky.

lo que encontro el malware byte eliminalo de la cuarentena no te creara niun problema.

Pues el escaneo me dio por resultado:

Threat names 0

Infected objects 0

Suspicious objects 0

Y duro como 6 horas.

Segun esto no tengo ninguna infecciòn, pero tengo mis dudas.

Tambien voy a borrar lo que tengo en cuarentena en Malwarebytes,
gracias por el tip.

Voy a ver si acaso puedo entrar a Windows normalmente.

ok amigo me comentas , pero ya estas libre de infeccion

PUES NO.

Hoy si pude entrar a Windows, pero me sigue cerrando los archivos
de Word.

Tambièn en el Panda me detectò 32 vulnerabilidades de gravedad Media
y Alta. Y al darle ir a Windowsupdate y como no se cargaba la pàgina
decidì cerrarla, pero entonces cerraba la pàgina y aparecìan dos, y
de repente empezaron a abrirse muchas pàginas con el mismo url,
y empezò a llenarse la pantalla y entonces decidì apagarla y comenzar
de nuevo en modo a prueba de fallos.

Pero aquì pude ver que el problema no està solucionado, al contrario
parece agravarse.

Ademas hay un usuario que no estoy seguro que estuviera antes
llamado CREATOR OWNER. Como puedo hacer para ver la fecha de
su creaciòn?

Tambièn me acuerdo que el Panda desde hace tiempo me dice que debo
reiniciar porque parece que hay problemas de scripts o algo asi.
Y me dice que tengo que reinstalar el programa, ya hice esto una vez
y me dijo (las primeras semanas) que la proteccion era alta, aunque
desde hace como 3 meses he estado en protecciòn baja y eso que he
estado actualizandolo.

Me estoy empezando a desesperar

hola

parese que el problema son tus actualizaciones de seguridad de wuindows tendremos que trabajar harto amigo para ver como podemos lograr que esos bichos se desaparezcan de tu pc y poder actualizar tu pc.

para continuar primero realisa lo siguiente porfavor:

escaner on line con panda

ewido on line escaner

con ewido le das en desinfectar cuando te d la opcion.

recuerda que debes trabajar con calma yo te ayudo en todo lo que este a mi alcance.

saludos

Si gracias, voy a hacer lo que me pides.

Aunque ya escanee con el Kaspersky on-line y no pasò nada.

Parece que estamos lideando con algo màs grande, tal vez
algùn virus y/o malware màs nuevo y tal vez màs peligroso.

En fin entre hoy y mañana te reporto los resultados.

Hasta luego

QUE HAY DE NUEVO ANOIKA.
ESPERO QUE HAYAS PASADO UNA BUENA NAVIDAD Y QUE ESTE AÑO
QUE VIENE SE MEJOR QUE EL ANTERIOR.

PUES BIEN, YA HICE EL ESCANEO ONLINE.
EN EL DE EWIDO ME APARECIO QUE NO TENIA VIRUS, PERO EN EL
DE PANDA VOY A PEGAR EL RESULTADO.
POR CIERTO QUE ME MARCA EL DELPSGUARD COMO VIRUS, YO NO SE
PERO LO BAJE DEL FORO. POR INTENTAR ALGO PARA VER SI PODIA
ARREGLAR MI PROBLEMA.
DESPUES DEL ESCANEO DEL PANDA
SE SIGUEN CERRANDO LOS ARCHIVOS DE WORD INMEDIATAMENTE
DESPUES DE ABIERTOS.
AL MENOS YA PUEDO ENTRAR A WINDOWS EN MODO NORMAL.
POR CIERTO TAMBIEN HICE ALGUNAS ACTUALIZACIONES DE WINDOWS.
PERO CREO QUE TODAVIA HAY VULNERABILIDADES QUE PUEDEN SER
EXPLOTADAS.

Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Panda Titanium Antivirus 2008 7.00.00 Yes No
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\COMPUTACION\NUEVOS\Spct 212.zip[Spector 2.12.exe]
03205018 Generic Trojan Virus/Trojan No 0 Yes Yes C:\Archivos de programa\DelPSGuard\IED.exe
03205018 Generic Trojan Virus/Trojan No 0 Yes Yes C:\WINDOWS\system32\IED.exe
03419914 Trj/Rebooter.J Virus/Trojan No 0 No No C:\Archivos de programa\Prodigy Infinitum\FinePoint\data1.cab[ctrbt.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location C7
;================================================= ================================================== ================================================== ==============================
No C:\Archivos de programa\DelPSGuard\DPSG.exe C7
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description C7
;================================================= ================================================== ================================================== ==============================
184380 MEDIUM MS08-002 C7
184379 MEDIUM MS08-001 C7
182048 HIGH MS07-069 C7
182046 HIGH MS07-067 C7
182043 HIGH MS07-064 C7
179553 HIGH MS07-061 C7
176382 HIGH MS07-057 C7
176383 HIGH MS07-058 C7
170911 HIGH MS07-050 C7
170907 HIGH MS07-046 C7
170906 HIGH MS07-045 C7
170904 HIGH MS07-043 C7
164915 HIGH MS07-035 C7
164913 HIGH MS07-033 C7
164911 HIGH MS07-031 C7
160623 HIGH MS07-027 C7
157262 HIGH MS07-022 C7
157261 HIGH MS07-021 C7
157260 HIGH MS07-020 C7
157259 HIGH MS07-019 C7
156477 HIGH MS07-017 C7
150253 HIGH MS07-016 C7
150249 HIGH MS07-013 C7
150248 HIGH MS07-012 C7
150247 HIGH MS07-011 C7
150243 HIGH MS07-008 C7
150242 HIGH MS07-007 C7
150241 MEDIUM MS07-006 C7
141034 HIGH MS06-076 C7
141033 MEDIUM MS06-075 C7
141030 HIGH MS06-072 C7
108742 MEDIUM MS06-006 C7
;================================================= ================================================== ================================================== ==============================

SALUDOS