Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

bueno qui si como que encontro algunas cosillas

pv.exe;C:\Archivos de programa\CasinoOnNet;Program.PrcView.3725;Eliminad o.;
spywareblaster.exe;C:\Archivos de programa\SpywareBlaster;Trojan.Packed.149;Eliminad o.;
RegUBP2b-Administrador.reg;C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Eliminado .;
A0000032.exe;C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;Trojan.Packed.149;Eliminado.;
A0000034.reg;C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;Trojan.StartPage.1505;Eliminado. ;
carom-3d-3-68-español-completo.exe\data002;D:\Ares\Ares1\carom-3d-3-68-español-completo.exe;Trojan.DownLoader.53790;;
carom-3d-3-68-español-completo.exe;D:\Ares\Ares1;Contenedor con objetos infectados;Movido.;
carom-3d-3-68-español-completo.exe;D:\Ares\Ares1;probablemente DLOADER.Trojan;Ruta no válida al archivo ;
bsplayer-pro-2-0-español-completo.exe\data002;D:\Programas\bs player\bsplayer-pro-2-0-español-completo.exe;Trojan.DownLoader.53790;;
bsplayer-pro-2-0-español-completo.exe;D:\Programas\bs player;Contenedor con objetos infectados;Movido.;
bsplayer-pro-2-0-español-completo.exe;D:\Programas\bs player;probablemente DLOADER.Trojan;Ruta no válida al archivo ;
StandardMPEGEncoderSetup5.Build1513.exe\data002;D: \Programas\encoder\StandardMPEGEncoderSetup5.Build 1513.exe;Trojan.DownLoader.53790;;
StandardMPEGEncoderSetup5.Build1513.exe;D:\Program as\encoder;Contenedor con objetos infectados;Movido.;
StandardMPEGEncoderSetup5.Build1513.exe;D:\Program as\encoder;probablemente DLOADER.Trojan;Ruta no válida al archivo ;
A0000035.exe\data002;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2\A0000035.exe;Trojan.DownLoader.5 3790;;
A0000035.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;Contenedor con objetos infectados;Movido.;
A0000035.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;probablemente DLOADER.Trojan;Ruta no válida al archivo ;
A0000036.exe\data002;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2\A0000036.exe;Trojan.DownLoader.5 3790;;
A0000036.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;Contenedor con objetos infectados;Movido.;
A0000036.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;probablemente DLOADER.Trojan;Ruta no válida al archivo ;
A0000037.exe\data002;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2\A0000037.exe;Trojan.DownLoader.5 3790;;
A0000037.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;Contenedor con objetos infectados;Movido.;
A0000037.exe;D:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP2;probablemente DLOADER.Trojan;Ruta no válida al archivo ;

Hay un punto en todo esto que me contraria ya comprendo por lo que es .


Cuando te he solicitado que realices pasos, te he pedido que hagas eso de::

La finalidad de eso es evitar que se ejecuten programas cuando se realizan las tareas de limpieza y mas importante aun: Resetear los puntos de restauración.


El DrWeb no lo aconsejé bajo esta imposición, pero en teoría los puntos de restauración ya deberían de haber estado limpios. Pero DrWeb me muestra que están infectados y probablemente no conseguimos limpiar nada de modo adecuado ya que al estar la infección en los puntos de restauración las infecciones vuelven al poco tiempo con otro nombre y ubicación:

Ejemplo de infección en punto de restauración por DrWeb::
Por lo que mi pregunta es: Cuando realizaste los pasos que te sugerí, ¿saltasté el paso 2?


Si has saltado el paso sobre apagar restaurar sistema, ya sabes de donde ha venido el problema desde un principio.


Contesta a eso para replantear la estrategia

hola binnish, no, no eh saltado ningun paso, siempre (exepto con dr web) hago lo de desactivar el restaurar sistema y luego pasar al modo seguro.
Ahora otra cosa, esos virus que me muestras era el punto exacto donde el antivirus panda se me quedaba colgado.
Ah y gracias por tus prontas respuestas.

Pues comprueba ha hacer lo siguiente::

Eso va a reiniciar los puntos de restauración. Comprueba si PANDA decide a funcionar ahora.

Pd: Menuda batalla

hola de nuevo.
hice lo que me dijite y el panda corrio, mira el informe

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-08-19 22:23:57
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 2
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 antivirus system 2.70 2.70 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00101945 HackTool/Samdump HackTools No 0 No No C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe[C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe][pwdump2\samdump.dll]
00101946 HackTool/Samdump HackTools No 0 No No C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe[C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe][pwdump2\pwdump2.exe]
00321319 HackTool/RockXp4 HackTools No 1 No No C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe[C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe][RockXP4_.exe]
00322278 HackTool/RockXp4 HackTools No 1 Yes No C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe
00967264 Trj/Agent.MFH Virus/Trojan No 0 Yes No D:\Programas\conversion a avi\packs divx\divxtotapack2.1\DivX_Total_Pack2.1.exe
00967264 Trj/Agent.MFH Virus/Trojan No 0 Yes No D:\Programas\conversion a avi\packs divx\divxtotapack2.1.zip[DivX_Total_Pack2.1.exe]
00967264 Trj/Agent.MFH Virus/Trojan No 0 Yes No C:\MSNCleaner\BackUpMSNCleaner\msngserv.exe.vir
02945591 Generic Malware Virus/Trojan No 0 Yes No D:\Programas\elecard\EXMuxer_Pro\Douglas_Es\Dougla s.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No D:\Ares\ares8\photoshop cs3 keygen + activation(2).exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No D:\Ares\ares8\photoshop_cs3_extended_activation_ke ygen.zip[Keygen.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
No D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe 1.7.0\ePSXeCutorStuff.dll
No D:\Programas\ares\aresregular209_installer.exe[Ares.exe]
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
210618 HIGH MS09-019
;================================================= ================================================== ================================================== =============================



parece que los virus ed D se pasaron a C jeje, y si menuda batalla

Vamos a la batalla::


Descarga OTM

• Haz un doble clic sobre OTM.exe para ejecutarlo.
  
• Asegurate que este marcado : Unregister Dll's and Ocx's
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTM nombrado: Paste Instructions for items to be Moved

• Haz clic en MoveIt! Para lanzar la supresión.
  
• Cuando el resultado aparece en el marco Results, se abrirá un aviso preguntando si deseamos reiniciar el PC: Pulsar sobre "YES"
  
• NOTA: En caso de que no aparezca el aviso de reiniciar. Reinicie manualmente su pc. ya que es importante reiniciar para eliminar las infecciones
  
• En tu proximo mensaje pones el reporte de OTM. Se encuentra en C: \ _ OTM\MovedFiles\********_******.txt
  

Esperamos el reporte

Ok aqui esta el reporte de OTM, pero una cosita antes de eso y que pena molestar tanto, pero es que el pc por alguna razòn, despues de una de las tantas veces que le pase los antimalware, se me demora una eternidad en arrancar y el procesador suena como si estuviera cargando programas repesados, y esto no pasaba antes, bueno sin mas, el informe de OTM:

========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\System Volume Information\_restore{BED2F68B-E20A-48FA-95DD-FC101EE46DF9}\RP3\A0000043.exe moved successfully.
D:\Programas\conversion a avi\packs divx\divxtotapack2.1\DivX_Total_Pack2.1.exe moved successfully.
D:\Programas\conversion a avi\packs divx\divxtotapack2.1.zip moved successfully.
C:\MSNCleaner\BackUpMSNCleaner\msngserv.exe.vir moved successfully.
File/Folder D:\Programas\elecard\EXMuxer_Pro\Douglas_Es\Dougla s.exe not found.
D:\Programas\elecard\EXMuxer_Pro\Douglas_Es\Dougla s.exe moved successfully.
D:\Ares\ares8\photoshop cs3 keygen + activation(2).exe moved successfully.
File/Folder D:\Ares\ares8\photoshop_cs3_extended_activation_ke ygen.zip not found.
D:\Ares\ares8\photoshop_cs3_extended_activation_ke ygen.zip moved successfully.
File/Folder D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe 1.7.0\ePSXeCutorStuff.dll D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe1.7.0\ePSXeCutorStuff.dll not found.
D:\Programas\ares\aresregular209_installer.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 56987102 bytes
->Temporary Internet Files folder emptied: 114822 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38431427 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 539777 bytes

User: Taty
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 686326 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 92,31 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08202009_000247

Files moved on Reboot...

Registry entries deleted on Reboot...

Todo a buen rumbo menos una cosa a ver si es que la he liado::

Añade esto otro a OTM; y pones el nuevo reporte;;

• Haz un doble clic sobre OTM.exe para ejecutarlo.
  
• Asegurate que este marcado : Unregister Dll's and Ocx's
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTM nombrado: Paste Instructions for items to be Moved

• Haz clic en MoveIt! Para lanzar la supresión.
  
• Cuando el resultado aparece en el marco Results, se abrirá un aviso preguntando si deseamos reiniciar el PC: Pulsar sobre "YES"
  
• NOTA: En caso de que no aparezca el aviso de reiniciar. Reinicie manualmente su pc. ya que es importante reiniciar para eliminar las infecciones
  
• En tu proximo mensaje pones el reporte de OTM. Se encuentra en C: \ _ OTM\MovedFiles\********_******.txt
  

Esperamos el reporte

Aqui lo tienes:

All processes killed
========== FILES ==========
DllUnregisterServer procedure not found in D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe 1.7.0\ePSXeCutorStuff.dll
D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe 1.7.0\ePSXeCutorStuff.dll NOT unregistered.
D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe 1.7.0\ePSXeCutorStuff.dll moved successfully.
File/Folder D:\Juegos\Emulador de Playstation psx-PSXfin\ePSXe1.7.0\ePSXeCutorStuff.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 848779 bytes
File delete failed. C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 619037 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 11484747 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Taty
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 12,38 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08202009_002749

Files moved on Reboot...

Registry entries deleted on Reboot...

Ahora si .


Me comentas cómo va la cosa