Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola chicos, soy nuevo en este foro y me he registrado por si me podeis echar una mano, no querria formatear el disco duro. Os cuento lo que me pasa:

Me he dado cuenta que tengo un gusano al entrar en la web de Caja Madrid, solo aqui, los demas sitios me van sin ningun problema. El caso es que al entrar en la oficina de internet de caja madrid me sale una pagina phising con la unica diferencia que me pide la "firma" la cual nunca pide caja madrid.

Tengo el karpesky de telefonica pero no me detecta ningun virus, le he pasado el antimalware y me da 3 objetos infectados:

Malwarebytes' Anti-Malware 1.40
Versión de la Base de Datos: 2573
Windows 5.1.2600 Service Pack 2

07/08/2009 12:40:06
mbam-log-2009-08-07 (12-40-06).txt

Tipo de examen : Examen Rápido
Objetos examinados: 98088
Tiempo transcurrido: 7 minute(s), 57 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


He pasado el mcaffe pro scan free y nada ningun virus.

Ayer entre en modo seguro con mi usuario, a lo mejor tenia que haber entrado como administrador. Hice lo mismo pero nada hay sigue. Es curisoso porque si una vez que estoy en la pagina phising de caja madrid, pincho en idioma castellano, se me actualiza la pagina y ya no me pide la "firma", creo que el virus esta para redireccinar a la web falsa solo pinchando en entrar, si entro a traves de "contratar" no me aparece.

Por lo que he leido puede estar instalado en la memoria, ah otra cosa curiosa, cuando me di cuenta el cortafuegos estaba desactivado, creo que lo desactivo el gusano.

Tambien cuando restaure el sistema despues de pasar la primera vez el antimalware, parecia que ya estaba solucionado, no me salia la dichosa pagina phising o pharming de caja madrid pero al dia siguiente al volver a entrar me aparecio otra vez, no se que hacer. En el centro de seguridad me han comentado que tengo el Zbot.P y que eliminase varios archivos de la ruta c:\Documents and settings\allusers\_qbothome, pero a mi esa ruta no me aparece.

Bueno acabo ya que menudo libro he escrito, espero vuestra opinion

gracias por adelantado.

Hola Javibi , buscaremos y eliminaremos los virus que tenga tu PC.
Sigue los pasos, tal cual estan indicados, y si tienes algun virus en la PC, lo encontraremos.



Por favor, sigue estos pasos, lee bien todas las indicaciones :

Si no puedes hacer algún paso, saltéalo y continuas con los demás.


1 »» Descarga lo siguiente: LOS INSTALAS Y ACTUALIZAS SEGUN SU MANUAL »»»» PERO NO LOS EJECUTES AUN.


» CCLEANER. Lo instalas según Su Manual

»
DR WEB CURE-IT y su Manual

» MALWAREBYTE´S. Lo instalas y actualizas según su manual.


2 »» Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI.
»» Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


3 »» Ejecuta las herramientas de una en una y en este orden:


»
Ejecuta DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminando todo lo que encuentre.

»
MALWAREBYTE. Selecciona hacer un "escaneo completo". Una vez finalizado, si detecta algo, eliges " quitar lo seleccionado ". Si te pide reiniciar, lo haces. En su "registros" quedará guardado el reporte que se genera, cópialo y pégalo en tu próxima respuesta.

»
CCLEANER. usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y archivos obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


4 »» Inicia en modo normal, y habilita restaurar sistema.


5 »» Realiza un scan online con : Realiza un scan online con Panda ActiveScan+Manual.

En tu próxima respuesta, debes pegar el reporte de MALWAREBYTES, Dr. Web y el de Panda online .


Espero esos reporte, tomate tu tiempo.


Salu2.

Hola Fer, bueno he hecho lo que me has pedido menos pasar el Panda, no me ha dejado me daba error al actualizarlo. Te envío los resutados del malwarebyte y del dr web.

Malwarebytes' Anti-Malware 1.40
Versión de la Base de Datos: 2573
Windows 5.1.2600 Service Pack 2 (Safe Mode)

07/08/2009 23:29:38
mbam-log-2009-08-07 (23-29-38).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 149764
Tiempo transcurrido: 41 minute(s), 21 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Dr Web: 4 objetos.

Objeto1: A0001046.exe
Ruta: c:\ System Volume Information\_restore{8D9f0c14-3991-4EA4-A62A-1598120606A3}IRP2
Estado: probablemente DLOADER.TROJAN

Objeto2: ieatgpc.dll
Ruta: c:\windows\Downloaded Program Files
Estado: Adware.WebEx

Objeto3: Process.exe
Ruta: D:\SmitfraudFix
Estado: Tool.Prockill

Objeto4: resart.exe
Ruta: D:\ SmitfraudFix
Estado: Tool.ShutDown.14

Estoy probando y parece que la pagina pharming de Caja Madrid ya no aparece, creo que ya esta solucionado o eso espero.

Como lo veis? muchas gracias.

Hola, se borraron algunas, infecciones.

Yo recomendaria que hagas un scan online, para estar seguro de que no quede nada.

Si no puedes con panda intenta con kaspersky.

»» Realiza un scan online con KASPERSKY ONLINE SCANER
Si utilizas FIREFOX, debes agregar la extensión IE Tab , que permite Integrar Internet Explorer en pestañas de Mozilla/Firefox.


igual prueba tu pc, si anda bien damos el tema por solucionado.

Salu2.

Hola, acabo de entrar y sigue aqui el troyano. Ya no se que hacer.

Realiza el scan que te pedi, y pega aca el reporte.

Salu2.

Hola, buenas noches!!! Buceando por Google en busca de una solución para una infección que tengo desde hace unos días en mi portátil, he descubierto que este usuario tiene exactamente las mismas rutas infectadas que yo! xD
Además, suelo consultar este foro con cierta asiduidad aunque no estaba registrado hasta ahora, así que me he animado a entrar y preguntar a ver si hay suerte.
Bueno os comento mi caso por si sirve de ayuda: tengo el Ccleaner y MalwareBytes actualizados y estoy harto de pasarlos pero el puñetero malware.trace ahí sigue. hay otros archivos que van variando, pero el Malware.Trace es el único que siempre está, así que imagino que es el culpable de abrirle la puerta a los otros. He llegado a ver también el Trojan.Zbot, aunque ahora ya no aparece. Además, cada vez que inicio sesión en Windows tengo el Firewall desactivado y tengo que volverlo a activar manualmente, y el ordenador me va muuuuuuy lento. Me gustaría evitar el formateo si fuera posible... creo que eso es todo, no se si alguien podrá ayudarme o si este era el sitio adecuado para escribir sobre esto, pero de todas formas, muchas gracias por adelantado ^^

Hola, Shironeko

Claro que te ayudaremos, pero para eso, debes crear tu propio tema, en el foro ayudamos de manera personalizada a cada usuario, aprovéchalo.

Como crear un tema nuevo:

FAQs de Problemas con el Foro



Saludos.

Hecho!! Voy a dejar pasando el panda online y así mañana cuando me levante creo el hilo y ya tengo el texto para pegar aquí ^^
Muchas gracias