no puedo eliminar win32/IRCbot.AMU(troyano) (Solucionado)

**Seyr** · 25/03/09, 00:10:12

alguien q me pueda decir los pasos q debo seguir para eliminar este virus porq el nod 32 no me lo detecta pero cada q prendo la pc me dice q esta este virus, ya la escanee pero aun asi no hace nada con el, yo supongo q es porq utilizo mucho usb...auxilio!!!!

**Anoika** · 25/03/09, 00:54:38

hola

al foro

Realiza estos pasos , si no puedes con uno lo saltas y continuas

Paso.- 1
Descarga y, o actualiza estas herramientas pero no la ejecutes aún.

Malwarebytes.

Ccleaner

Flash_Disinfector
Al final de la pagina

Apaga restaurar sistema

Inicia en Modo Seguro.

Paso .-2
Ejecuta.

Flash_Disinfector:
Con los dispositivos USB desconectados ejecuta Flash_Disinfector, luego
conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecuta Fash_Disinfector nuevamente.

Malwarebytes.
En su opción de examen completo , dándole al finalizar en"Quitar todo lo encontrado"

Ccleaner.
Usando primero su opción "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción "Registro" para limpiar todo el Registro de Windows haciendo Copia de Seguridad.

Paso.-3

Reinicias tu ordenador en Modo Normal.

Realiza unAnálisisOnline Panda Active Scan2 como lo indica su Manual

Activa la opción Restaurar Sistema.

En tu próximo Post nos cuentas los resultados junto a los reportes generados por, MalwareByte's y Panda Online Scanner.

Saludos.

**THINGOL** · 25/03/09, 01:01:15

EDITO....
Llegué tarde

Por cierto, tienes el mismo tema abierto aquí. Reportaré ese tema para que lo cieeren y trabajes aquí con el colega ANOIKA.

Políticas del foro:

.- No se permite repetir el mismo mensaje en todos los foros a fin de obtener ayuda más rápido. Estos serán cerrados y o eliminados ya que lo único que se consigue es dispersar las respuestas y molestar al resto de los usuarios.

**Seyr** · 25/03/09, 11:55:51

Muchas gracias por responderme creanme q me ha sido de gran utilidad.
Realize todos los pasos q me dijiste hasta para poder entrar en modo seguro porq mi pc no me dejaba, bueno realize el escaneo con el flash desinfector y esto es lo q me aparecio:

Malwarebytes' Anti-Malware 1.34
Versión de la Base de Datos: 1749
Windows 5.1.2600 Service Pack 3

25/03/2009 9:36:31
mbam-log-2009-03-25 (09-36-31).txt

Tipo de examen : Examen Rápido
Objetos examinados: 60095
Tiempo transcurrido: 6 minute(s), 8 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Despues limpie con el ccleaner las cookies etc etc., me meti a registros y tambien realize los pasos mencionados si me marco como 10 errores pero ya quedo.
Lo ultimo q me falto y no he poddio hacer es el scan con panda por q el link q tienen me dice un error q la pagina no existe, ojala puedan ayudarme en eso.

Gracias.

**Anoika** · 25/03/09, 11:58:59

En el mismo enlace del panda esta el kasperzky on line prueba con el a realizar el escan on line.

También debes de realizar un nuevo escan con el malware byte pero esta ves que sea un examen completo , ya que el que realizaste fue un examen rápido.

**Seyr** · 26/03/09, 01:13:00

hola otra vez
mira ya realice el scan completo y esto aparecio:

Malwarebytes' Anti-Malware 1.34
Versión de la Base de Datos: 1749
Windows 5.1.2600 Service Pack 3

25/03/2009 19:43:05
mbam-log-2009-03-25 (19-43-05).txt

Tipo de examen : Examen Completo (A:\|C:\|D:\|E:\|F:\|)
Objetos examinados: 128622
Tiempo transcurrido: 53 minute(s), 31 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\System Volume Information\_restore{4FAF959E-3624-493C-8A5B-4C52CF262DDA}\RP54\A0032155.exe (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4FAF959E-3624-493C-8A5B-4C52CF262DDA}\RP54\A0032161.exe (Adware.NetPumper) -> Quarantined and deleted successfully.

Con respecto al scan con kaspersky no se si lo hice bien pero de todas formas t mando el informe y me dices q opinas...

miércoles, 25 de marzo de 2009 23:07:04
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.2
Ultima actualización: 26/03/2009
Registros en la base antivirus: 1780427

Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\Berenice\CONFIG~1\Temp\

Estadísticas
Número de objeros analizados 21051
Virus encontrados 1
Objetos infectados 1 / 0
Objetos sospechosos 0
Duración del análisis 00:49:45

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\hsperfdata_SYSTEM\1840 Object is locked saltado

C:\WINDOWS\Temp\ib10 Object is locked saltado

C:\WINDOWS\Temp\ib8 Object is locked saltado

C:\WINDOWS\Temp\ib9 Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\DOCUME~1\Berenice\CONFIG~1\Temp\hpodvd09.log Object is locked saltado

C:\DOCUME~1\Berenice\CONFIG~1\Temp\hsperfdata_Berenice\3556 Object is locked saltado

C:\DOCUME~1\Berenice\CONFIG~1\Temp\IH33D.tmp Infectados: Trojan.Win32.Inject.qgt saltado

C:\DOCUME~1\Berenice\CONFIG~1\Temp\~DF85BF.tmp Object is locked saltado

Análisis completado.

Espero tus comentarios
Gracias

**Anoika** · 26/03/09, 01:16:49

Estos archivos están infectados , para eliminarlos
Ejecuta esta herramienta como lo indica aca:

Paso 1._
Descarga:

OTMoveIt3 lo guardas en el Escritorio.
• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado : Unregister Dll's and Ocx's
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado : Paste List of Filas / Folders to be moved.
• (archivos que van en cita)

Código:

:files
C:\DOCUME~1\Berenice\CONFIG~1\Temp\IH33D.tmp

:commands
[emptytemp]
[purity]
[Reboot]

Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic en Exit.
• Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt situado sobre: C: \ _OTMoveIt\MovedFiles....tx

Saludos espero los reportes.

**Seyr** · 26/03/09, 20:42:47

Muchas gracias Anoika...
Ya realice lo q me dijiste y este es el reporte:

========== FILES ==========
C:\DOCUME~1\Berenice\CONFIG~1\Temp\IH33D.tmp moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Berenice\CONFIG~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Berenice\CONFIG~1\Temp\~DF6E5C.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\hsperfdata_SYSTEM\1356 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib11 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib12 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib13 scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03262009_183142

No se si estuvo bien el procedimiento espero comentarios...

**Anoika** · 26/03/09, 20:46:16

Si perfecto amigo

ahora realiza esto para eliminar otmoveit y su cuarentena:
* Ejecuta OTMoveIt3.exe
o Asegúrate de estar conectado a Internet.
o Presiona el botón CleanUp!
o Confirma el inicio del proceso de limpieza pulsando en "Yes".
o Aparecerá un listado de las herramientas usadas durante la desinfección.
o OTMoveIt3 pedirá que reinicie el sistema, confírmelo pulsando en "Yes".

Vacía la cuarentena del malware byte.

Después me comentas si el problema por el cual abriste el tema desaparece.

**Seyr** · 26/03/09, 21:08:28

Mil Gracias espero q todo haya quedado solucionado ya t estare informando....
oye una duda: todos los programas q tuve q descargar para eliminar este problema los dejo aqui en mi pc o los elimino, porq no se si pueda afectar algo el tenerlos.

no puedo eliminar win32/IRCbot.AMU(troyano) (Solucionado)

Herramientas

no puedo eliminar win32/IRCbot.AMU(troyano) (Solucionado)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)

Re: no puedo eliminar win32/IRCbot.AMU(troyano)