Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola que tal una vez mas recurriendo a la ayuda de foros spoyware, pues mi caso es el siguiente y directo al grano, desde el dia de ayer una de mis computadoras no me deja entrar a ningun archivo .exe a ecepcion de internet explorer, saliendo de antemano la ventanita de "abrir con" ni a ninguna opcion dentro del panel de control diciendo "c:\windows\system32\rundll32.exe no se ha encontrado la aplicacion" asi como tambien no me permite manejar libremente el modo a prueba de errores ni aceder a propiedades de mi pc para desactivar la restauracion, necesito saber alguna forma de resolver el problema, ya intente otros metodos (restaurando windows, restaurando el archivo rundll32)pero aun asi el problema persiste, quisiera saber si alguien tiene alguna idea de que pasa con mi pc? saludos estoy usando un s.o. desatendido por si ayuda en algo espero se peuda resollver mi problema saludos y buenas noches.

p.d. tampoco accede al simbolo del sistema, aclaro que no deja entrar a ningun archivo .exe

Hola ingeloco

Realiza lo siguiente:
Descarga los siguientes archivos y los descomprimes en el escritorio:

xp_fileassoc.zip.
xp_exe_fix.zip.

Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Ejecútalos en este orden:

• xp_fileassoc.bat
  
• xp_exe_fix.reg

Reinicia y comprueba los resultados.

Después:
Realiza lo siguiente:
Descarga instala y/o actualiza las siguientes herramientas (Es importante que leas sus manuales).

1. CCleaner, su manual.
   
2. Dr.Web CureIt!, su manual.
   
3. Malwarebytes' Anti-Malware, su manual.

:Desactiva el "Restaurar Sistema" y reinicia eh inicia en "Modo a prueba de fallos" (modo seguro).

Ejecuta las herramientas una por una.

-Ejecuta Dr.Web CureIt! como lo indica su manual.

• Realizando un escaneo completo
• (Elimina lo que encuentre)

-Ejecuta "Malwarebytes' Anti-Malware".

• Realiza un examen completo.
• *Nota* Es importante que envíe a "Cuarentena" todo lo que este detecte (Dando clic a "Quitar lo Seleccionado")

- Reinicia en modo normal y usa "CCleaner".

• En su opción de "Limpiador" para limpiar los archivos temporales, cookies y archivos innecesarios del PC.
• luego en su opción de "registro" (haciendo copia de seguridad).

-Para terminar realiza un escaneo con Kaspersky Online su manual.
Pega el reporté que te generé junto con el de Malwarebytes' Anti-Malware y el de Dr.Web CureIt!.

**NOTAS**
-Si no puedes realizar alguno de los pasos saltalo y continua.
-Puedes imprimir los pasos para que sea mas fácil seguirlos.
-Al terminar puedes reactivar el "Restaurar Sistema".

Saludos.

Hi que tal garcias por la respuesta, hice lo correspondiente a los pasos que me indicaste pero el .bat no me deja ejecutarlo ya que me pregunta con que programa abrirlo, el .reg si hizo un cambio al dejarme abrir algunos programas.

hize los demas pasos y aun no keda la limpieza total aun sigo trabajando en la pc para ver si se eliminan esos bichos un saludo y pronto volvere a reportarme saludos.

Ok.

Recuerda copiar los reportes.

Saludos.

parece que ya quedo como nueva pero borre accidentalmente el reporte de malwarebytes y no puedo recuperarlo pero en e stos momentos anda pasando el kaspesky online espero tener el reporte para mañana del antivirus y gracias por la ayuda ya los programas abren normal ahora ando con otra pc que tenia un error irq tambien jejeje saludos y buenas noches.

jajaja soy reguno jaja encontre el archivo de malware lo posteo a continuacion para analisis solo faltaria el kaspersky saludos de nueva cuenta

Malwarebytes' Anti-Malware 1.38
Versión de la Base de Datos: 2340
Windows 5.1.2600 Service Pack 3

03/07/2009 06:12:42 p.m.
mbam-log-2009-07-03 (18-12-42).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 139407
Tiempo transcurrido: 26 minute(s), 38 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 3
Carpetas Infectadas: 1
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6 to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\6 to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\6to4 (Trojan.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\kell (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CLASSES_ROOT\.bat\(default) (Hijacked.BatFile) -> Bad: (csfile) Good: (batfile) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.com\(default) (Hijacked.ComFile) -> Bad: (csfile) Good: (comfile) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\WINDOWS\system32\3361 (Trojan.Downloader) -> Quarantined and deleted successfully.

Ficheros Infectados:
c:\WINDOWS\system32\3361\mlog (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\3361\services.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6to4v32.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Ok.

Cuando tengas el reporte de Kaspersky Online lo pegas.

Saludos.

reporte kaspersky terminado envio el resultado algo medio raro pero en fin jejeje saludos.


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 04 de julio de 2009 2:12:35
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.2
Ultima actualización: 4/07/2009
Registros en la base antivirus: 2193952
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
G:\

Estadísticas:
Número de objeros analizados: 59269
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 01:12:26

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Search Enhancement Pack\Search Box Extension\history.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Tracing\WindowsLiveMessenge r-uccapi-1.uccapilog Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\RECYCLER\S-1-5-21-5364618545-0377781990-134461237-0563\windll.exe Infectados: P2P-Worm.Win32.Palevo.hbm saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_200.dat Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

Hola

Mira en la Papelera de reciclaje si tienes el siguiente archivo (en rojo) si es así borralo:
C:\RECYCLER\S-1-5-21-5364618545-0377781990-134461237-0563\windll.exe.

Comenta como sigue tu pc.

Saludos.

no no aparece ningun archivo jajaja puse en rojo menso, hoy estara a prueba la pc veo que no ha estado dando lata ni nada por el estilo, como que ya anda estable pero aun asi estare pendiente de la misma saludos.

Hola

Lo mejor sera que nos desaguamos de ese archivo.

Realiza lo siguiente:
Descarga OTM su manual y guardarlo en el Escritorio.

• Haz doble clic sobre OTM.exe para ejecutarlo.
• NOTA: Asegúrate que esté marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el recuadrado de abajo, y pegar el texto en el marco izquierdo de OTMoveIt3 llamado "Paste Standard List of Files / Folders to be Moved".

• Da clic en MoveIt! para lanzar la supresión.
• Se abrirá un aviso preguntando si deseas reiniciar el PC:
• Pulsar sobre "YES" para reiniciar inmediatamente

NOTA:Reiniciar es un paso fundamental para eliminar los archivos y/o carpetas rebeldes.
Creara un reporté que se encuentra generalmente en C: \ _ OTM\MovedFiles\***_***.log

Descarga y ejecuta Flash_Disinfector.exe (al final del post).

-Ejecutar Flash_Disinfector.exe" y luego Colocar el Pendrive en el puerto USB y ejecutarlo nuevamente.
Usa CCleaner

• En su opción de "Limpiador" para limpiar los archivos temporales, cookies y archivos innecesarios del PC.
• luego en su opción de "registro" (haciendo copia de seguridad)

Para terminar realiza un escaneo con Panda ActiveScan, su manual pegas el reporte que genere (Envolviéndolo con la etiqueta CODE ).
Pega el reporté que generé junto con el de OTM.

Saludos