Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, soy un constante visitante de este foro y es la primera vez que posteo, antes de comenzar felicito al administrador o administradores de este foro, es de mucha utilidad para los que buscan más seguridad para sus máquinas.

El asunto de este tema es que necesito que me quiten la duda con respecto a este programa llamado Spyware Detector.

Hace tiempo que estoy trabajando como digitador en una fotocopiadora y resulta que la PC que me otorgaron estaba bastante infectada. Después de unos días logré sanarla por así decirlo, gracias a las enseñanzas que aprendí aquí mismo y en algunos blogs.

Bueno, quise brindarle más seguridad a la compu que uso y me decidí por instalarle el Spyware Detector 2009 (SP2009 para abreviar) de su web oficial http://www.maxpcsecure.com/

Más tarde durante cuando inicié la primera revisada con este programa me di con la sorpresa de que aun persistían más spyware alojados en la carpeta de Windows y el registro, tal como lo dice en la lista que adjunto:

Information :
Date: 5/26/2009 08-30-36
OS Version: Windows XP Professional Edition
Computer Name: PC5

Log:
Spyware Name Threat Type Threat Action
Keylogger.Perflogger File c:\windows\system32\ammpp.dll Scan
Keylogger.Perflogger File c:\windows\system32\a1.dll Scan
Keylogger.Perflogger File c:\windows\system32\anming.ocx Scan
Fake Anti Spyware.SpywareQuake File c:\windows\system32\vbbho.tlb Scan
Trojan.Zlob File c:\windows\help\plyr_err.chw Scan
Trojan.Zlob Fix: Registry Data hkey_users\s-1-5-21-343818398-1604221776-1606980848-500\software\microsoft\windows\currentversion\expl orer\ :: searchslowfiles :: 1 | 0 Scan
Trojan.Zlob File c:\documents and settings\administrador\mis documentos\rogelio\programas\vlc-0.9.9-win32.exe Scan
Backdoor.Webdor Registry Value hkey_local_machine\software\microsoft\windows\curr entversion\run :: winampagent Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\servic es\asc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\security Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\enum Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\enum :: 0 Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\enum :: 0 :: root\legacy_asc3360pr\0000 Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\enum :: count Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\servic es\asc3360pr\enum :: count :: 1 Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: service Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: service :: asc3360pr Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: legacy Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: legacy :: 1 Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: configflags Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: configflags :: 0 Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: class Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: class :: legacydriver Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: classguid Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: classguid :: {8ecc055d-047f-11d1-a537-0000f8753ed1} Scan
Virus.Sality.aa Registry Value hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: devicedesc Scan
Virus.Sality.aa Registry Data hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000 :: devicedesc :: asc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_asc3360pr\0000\logconf Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\controlset002\services\a sc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\controlset002\enum\root\ legacy_asc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\controlset003\services\a sc3360pr Scan
Virus.Sality.aa Registry Key hkey_local_machine\system\controlset003\enum\root\ legacy_asc3360pr Scan
Rootkit.Agent File c:\system volume information\_restore{2c82f4cd-03e3-412f-b0a6-cffbdc6bfd4f}\rp4\a0000186.sys Scan
Rootkit.Agent File c:\windows\system32\drivers\ndisys.sys Scan

El problema ahora es que quiero eliminar esos malditos spywares, pero el programa se niega a cumplir con lo que pido, ya que para eso tengo que pagar, ahora surge mi interogante, será acaso que el SP2009 exagera o inventa estos datos sólo para que los usuarios se asusten, lo digo porque no entiendo cómo programas que tenía desde hace meses como el instalador de vlc-0.9.9-win32 (VideoLan Client) pudieran alojar spywares, este reproductor jamás me causó problemas.

Otra cosa más, cada vez que uso el SP2009, se crean dos archivos de texto ocultos en las memorias que le ordeno revisar, estos archivos son "ExecSignature" y "SDSignature", pregunto: ¿son confiables?

Espero que me puedan ayudar con este duda y además que brinden una información sobre como borrar los spyware que el SP2009 detecta, pero que se niega a borrar.

Gracias

Hola, te doy la bienvenida al Foro

En realidad se trata de un Rogue
Y si, lo que hacen es "inventar" o "exagerar", para que termines pagando por él.

Acá un listado de programas falsos y/o sospechosos:
Listado de Falsos Antivirus / Falsos Antispywares / "Rogue" (Actualizado al 01/9/09)

Desinstalalo e instala otro de verdad y mejor.

Pueden ser Malwarebytes' Antimalware o Spybot Search&Destroy

Saludos

Hola saQhra, en tu afán de proteger el equipo lo que terminaste haciendo fue instalar un falso programa de seguridad o Fake Antispyware.

Para la próxima consulta este listado: Listado de Falsos Antivirus / Falsos Antispywares / "Rogue" (Actualizado al 01/9/09)

Y solo utiliza programas recomendados en nuestra web principal: AntiSpyware | InfoSpyware


Desinstala el Spyware Detector, si se resiste usa el Revo Uninstaller.

A continuación empieza la desinfección de la siguiente forma:

• Paso 1- Descarga, instala y actualiza las siguientes herramientas:
  • CCleaner // Manual de uso.
  • Malwarebytes' Anti-Malware // Manual de uso.
• Paso 2- Ejecuta CCleaner para hacerle una limpieza de cookies, archivos temporales e innecesarios para mejorar el rendimiento de tu equipo y generar reportes mas limpios.(NO necesitamos este reporte)
  
• Paso 3- Ejecuta Malwarebytes' Anti-Malware (MBAM) y selecciona todo lo que este encuentre para luego presionar el botón de "Quitar lo Seleccionado" y así mandarlo a cuarentena.
  
• Paso 4- Reinicia tu PC, y pega tu log de HijackThis 2.0.2 para pegarlo junto con el reporte de MBAM en este mismo mensaje contándonos si hubiera habido alguna mejora en el problema o rendimiento del equipo.

Disculpen la demora, estaba ocupado, pero ya hice todo lo que dijeron.

Aquí les mando el resumen del Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.37
Versión de la Base de Datos: 2182
Windows 5.1.2600 Service Pack 3

03/06/2009 09:43:26
mbam-log-2009-06-03 (09-43-26).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 105872
Tiempo transcurrido: 22 minute(s), 16 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-77ef1d187332} (Worm.AutoRun) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Y esto es del HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20: Frank, on 03/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\ACDSee32\ACDSee32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O23 - Service: Access Remote PC Service 5.2 - Unknown owner - C:\Archivos de programa\Access Remote PC 5.2\rpcsetup.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2506 bytes

Sólo me resta decir que al iniciar Windows ya no demora tanto como antes, está más veloz.

Una vez más gracias por limpiar mis dudas.