Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas tardes:
Esta mañana meti un lapiz usb y me da la sensacion de que me ha colado un virus.
He notado que cuando cambio la opcion de ver los archivos ocultos vuelve a la opcion de no mostrar archivos ocultos automaticamente. Eso nunca me habia pasado. Ademas notaba que se estaban ejecutando procesos secundarios, ya que me relentizo bastante la maquina y el disco se puso a leer/escribir como loco.
Como vi que el antivirus Avast no lo habia detectado decidi instalar el nod32 demo, pero una vez instalado me dice que no necesita actualizarse, cosa extraña ya que la version de la base de datos de virus es la 20080701.
Decidi instalar una nueva instalacion de windows XP, en otra particion y la sorpresa es que nada mas entrar en la nueva instalacion tengo los mismos sintomas que en la anterior. Lo unico que he conseguido es pasar el analizador online del karpesky y me ha dado:
E:\WINDOWS\system32\nmdfgds0.dll Infectados: Packed.Win32.Krap.g saltado
E:\WINDOWS\system32\nmdfgds1.dll Infectados: Packed.Win32.Krap.g saltado
E:\WINDOWS\system32\olhrwef.exe Infectados: Packed.Win32.Krap.g saltado
pero no me los ha eliminado. ¿Que puedo hacer?
Muchas Gracias de antemano

hola al foro.

veamos donde están esos bichos y como matarlos después.


tenemos harto trabajo por delante , comencemos entonces:
imprime esta hoja para que te sea mas facil seguir los pasos


Descarga y/o actualiza las siguientes herramientas; pero no las ejecutes todavia:

Ccleaner
Flash_Disinfector
al final de la pagina
Malwarebytes' Anti-Malware

apaga la opcion de restaurar sistema
inicia en modo a prueba de errores



ejecuta:

Flash_Disinfector:
Con los dispositivos USB desconectados ejecuta Flash_Disinfector,
Conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecuta Fash_Disinfector nuevamente.




Malwarebytes' Anti-Malware:
Realiza un examen completo del PC y al finalizar le das en la opcion de quitar todo lo encontrado.


Ccleaner:
Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad), luego Reinicia en modo normal


realiza un analisis completo con Kaspersky Online Scanner usa el que esta en ingles [/.si usas firefox como navegador deves usar la extencion ietab.
al finalisar el escan on line
activa la opcion de restaurar sistema


En tu proxima respuesta:
- Pega los reportes de Malwarebytes y Kaspersky.
- Nos cuentas los resultados.

saludos

Hola Buenas:
Ya realice todo el proceso y parece que lo he conseguido quitar.
Pongo los resultados de los informes:

Malwarebytes' Anti-Malware 1.34
Versión de la Base de Datos: 1760
Windows 5.1.2600 Service Pack 2

14/02/2009 2:07:59
mbam-log-2009-02-14 (02-07-53).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 134797
Tiempo transcurrido: 6 minute(s), 10 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\cdoosoft (Trojan.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
E:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> No action taken.

Karpesky:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, February 14, 2009
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, February 13, 2009 21:14:44
Records in database: 1793994
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
I:\
J:\

Scan statistics:
Files scanned: 82477
Threat name: 6
Infected objects: 11
Suspicious objects: 1
Duration of the scan: 01:38:35


File name / Threat name / Threats count
C:\ur0.com Infected: Packed.Win32.Krap.g 1
D:\ur0.com Infected: Packed.Win32.Krap.g 1
E:\ur0.com Infected: Packed.Win32.Krap.g 1
E:\WINDOWS\system32\nmdfgds0.dll Infected: Packed.Win32.Krap.g 1
E:\WINDOWS\system32\nmdfgds1.dll Infected: Packed.Win32.Krap.g 1
E:\WINDOWS\system32\olhrwef.exe Infected: Packed.Win32.Krap.g 1
F:\CDWindows\Utilidades\Programas\Codecs\DivX.Pro. 5.03.exe Infected: not-a-virus:AdWare.Win32.Gator.3202 1
F:\CDWindows\Utilidades\Programas\Codecs\XviD-Decoder.zip Suspicious: Password-protected-EXE 1
F:\CDWindows\Utilidades\Programas\Internet\mirc\mi rc612.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.612 1
F:\Ficheros\Files\Seemygf Sexy Girl Has Shaking Orgasm During Sex.mpg Infected: Trojan-Downloader.WMA.GetCodec.g 1
F:\ur0.com Infected: Packed.Win32.Krap.g 1
I:\AUTOPLAY\DOCS\DRIVERS\CODECPACKELISOFT140.EXE Infected: not-a-virus:AdWare.Win32.Gator.4104 1

The selected area was scanned.


Una vez arrancado el sistema normalmente he eliminado a mano los ficheros infectados y listo. Creo que ha desaparecido el problema.
Muchas Gracias

hola
aun quedan infecciones en tu pc para eliminarlas .


ejecuta esta herramienta como lo indica aca:


paso 1._

Descarga:

OTMoveIt3 lo guardas en el Escritorio.
• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado : Unregister Dll's and Ocx's
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado : Paste List of Filas / Folders to be moved.
• (archivos que van en cita)

Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic en Exit.
• Reinicia el PC (Este paso es muy importante)


Envía el informe (reporte) de OTMoveIt situado sobre: C: \ _OTMoveIt\MovedFiles....tx




Si queres confirmar la desinfeccion, realiza un nuevo escaneo online con kasperzky

saludos espero los reportes.

Buenos Dias:
Yo creo que ya consegui eliminar la infeccion. Aunque para estar seguros le pasare el karpesky on line cuando tenga un buen rato.

Al finalizar la etapa anterior yo borre a mano los ficheros que me indicaba karpesky como erroneos, por lo que el OTMoveIt3 no los ha encontrado porque ya los habia yo borrado antes.

========== FILES ==========
File/Folder C:\ur0.com not found.
File/Folder D:\ur0.com not found.
File/Folder E:\ur0.com not found.
File/Folder C:\WINDOWS\system32\nmdfgds0.dll not found.
File/Folder C:\WINDOWS\system32\nmdfgds1.dll not found.
File/Folder C:\WINDOWS\system32\olhrwef.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\etilqs_e5OVqJzWv6 Z0Kmte7ttR scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\etilqs_e5OVqJzWv6 Z0Kmte7ttR-journal scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\~DF8F71.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_200.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_94c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_ad8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_152302

Files moved on Reboot...
File C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\etilqs_e5OVqJzWv6 Z0Kmte7ttR not found!
File C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\etilqs_e5OVqJzWv6 Z0Kmte7ttR-journal not found!
File C:\DOCUME~1\IAKI~1\CONFIG~1\Temp\~DF8F71.tmp not found!
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_200.dat moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_94c.dat moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_ad8.dat moved successfully.

Muchisimas gracias por todo y espero que avast y McAfee puedan detectar este virus, ya que esta vez se le ha colao.
Un Saludo

hola
ejecuta esto para eliminar otmoveit y su cuarentena:

* Ejecuta OTMoveIt3.exe
o Asegurate de estar conectado a internet.
o Presiona el botón CleanUp!
o Confirma el inicio del proceso de limpieza pulsando en "Yes".
o Aparecerá un listado de las herramientas usadas durante la desinfección.
o OTMoveIt3 pedira que reinicie el sistema, confirmelo pulsando en "Yes".

luego me dices si tu pc esta bien y el problema desapareció.

sañudos

Buenos Dias:
Comentar que ya se soluciono el problema.
Muchisimas gracias.

Ahora el problema es otro equipo. Es como el anterior pero el virus o troyona esta ejecutandose incluso en modo seguro o prueba de fallos.
Estoy intentando quitarlo si necesito ayuda ya abro otro tema.

Gracias

hola servan2


continuemos en este mismo tema ok para ese nuevo pc :


* descarga y,o actualiza estas herramientas pero no la ejecutes todavía.

dr. web cure-it
malwarebyte-antymalware
ccleaner

apaga la opcion de restaurar sistema
inicia en modo a prueba de errores

ejecuta :

dr. web cure-it
como lo indica su manual

malwarebyte-antymalware.
en su opcion de examen completo , dandole al finalizar en "quitar todo lo encontrado"

ccleaner.
usando primero su opción de"Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows haciendo copia de seguridad.

seguido inicias tu ordenador en modo normal


Realiza un análisis online con kaspersky como lo indica su manual

Si usas como navegador firefox recuerda usar la extencion IE Tab


activa la opcion restaurar sistema y en tu proximo post nos cuentas los resultados junto a los reportes generados por, dr. web cure - it ,MalwareByte's Antimalware, y .Kaspersky online scanner.



es importante que no ejecutes herramienta que no se indican acá ya que entorpecen el buen desarrollo del tema
saludos:adios