Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Desde exactamente el miércoles pasado cada vez que inicio Windows me aparece la siguiente advertencia.

avast! - Advertencia

¡Fichero sospechoso encontrado!


Se ha detectado un archivo sospechoso (utilizando un método heurístico). Esto puede indicar una infección de sofware perjudicial. Por favor permite que el archivo sea enviado a nuestro laboratorio de virus para ser analizado.

Nombre de archivo: C:\o9bxu.exe
Tipo: Encubridor: Proceso oculto

Acciones disponibles
ELIMINAR AHORA

IGNORAR []No informar más de este archivo en el futuro

Acción recomendada: Ignorar


Envío[x] Enviar el Archivo al laboratorio de virus de ALWIL Software para un análisis en profundidad

Política de privacidad
--------------------------------------------------------------------------------------------------------

Cuando le doy a eliminar, me dice que es peligroso borrar un archivo con el sistema en marcha y que se reiniciara y antes de inciar windows se hara una scaneo para detectar y borrar el archivo, hace el escaneo, pero no encuentra nada, se inicia el sistema y luego vuelve aparece el aviso de arriba.

Le di a ignorar sin tildar el "No informar..."

Pero cada vez que reinicio es el mismo problema.

Podrian ayudarme?
Desde ya muchas gracias

Ceci

Hola

Me parece que es un virus, pero debemos buscar mas malwares a fondo en tu pc. Por favor sigue estos pasos:

Descarga, instala y actualiza estos programas pero no los ejecutes aun

Malware Bytes ‘ Antimalware AQUI SU MANUAL
Super Antispyware AQUI SU MANUAL
Ccleaner AQUI SU MANUAL

Inicia en modo seguro

En modo seguro, ejecuta Mbam y SAS, recuerda hacer un examen completo con ellos y eliminar lo que encuentren


Luego en modo normal, el Ccleaner utilizando su opción de limpiador para eliminar cookies y archivos temporales y luego en registro para eliminar entradas obsoletas

Luego realiza un Scan Online con kaspersky

Me pegas los reportes de, Malware bytes y kaspersky

Bueno, hice todo lo que me dijiste y estos son los resultados.

El reporte de malware

Malwarebytes' Anti-Malware 1.40
Versión de la Base de Datos: 2754
Windows 5.1.2600 Service Pack 2 (Safe Mode)

07/09/2009 06:07:32 p.m.
mbam-log-2009-09-07 (18-07-32).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 151635
Tiempo transcurrido: 1 hour(s), 15 minute(s), 38 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 6

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
D:\Utilidades\sony vegas video 7 keygen(2)\Sony Vegas Video 7 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\m.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cecilia\Configuración local\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.


y


--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Tuesday, September 8, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, September 08, 2009 01:07:06
Records in database: 2757962
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 60083
Threats found: 2
Infected objects found: 3
Suspicious objects found: 0
Scan duration: 02:35:33


File name / Threat / Threats count
C:\y.bat Infected: Trojan-GameThief.Win32.Magania.cafe 1
D:\m.exe Infected: Trojan-GameThief.Win32.Magania.cafp 1
D:\y.bat Infected: Trojan-GameThief.Win32.Magania.cafe 1

Selected area has been scanned.

Ayer despues de pasar los primeros tres programas no me salia nada.
Hoy me sale lo mismo que me salia antes pero el fichero ahora es:

C:\3c.exe

¿Qué puedo hacer?

Hola

Realiza lo siguiente:

• Descarga OTM by OldTimer en el escritorio.
  • Haz doble clic sobre el icono OTM.exe para ejecutarlo
  • Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
  • Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").
    
    
    Código:

    :files
    C:\y.bat 
    D:\m.exe 
    D:\y.bat 
    :commands
    [emptytemp]
    [purity]
    [Reboot]
    

  • Presiona el boton rojo MoveIt!
  • Espera hasta cuando el resultado aparezca en el marco Results.
  • Permite que se reinicie el equipo, esto es importante.
  • Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

Acá va el reporte:

All processes killed
========== FILES ==========
C:\y.bat moved successfully.
D:\m.exe moved successfully.
D:\y.bat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Cecilia
File delete failed. C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds0.dll scheduled to be deleted on reboot.
->Temp folder emptied: 394807020 bytes
->Temporary Internet Files folder emptied: 4825547 bytes
->Java cache emptied: 127542 bytes
->FireFox cache emptied: 76572933 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114656 bytes
%systemroot%\System32 .tmp files removed: 1163101 bytes
Windows Temp folder emptied: 670895 bytes
RecycleBin emptied: 299536951 bytes

Total Files Cleaned = 743,85 mb


OTM by OldTimer - Version 3.0.0.6 log created on 09082009_200829

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds0.dll
C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds0.dll NOT unregistered.
C:\Documents and Settings\Cecilia\Configuración local\Temp\cvasds0.dll moved successfully.

Registry entries deleted on Reboot...

Me volvio a saltar el mensaje del fichero sospechoso pero ahora el archivo al que hace referencia es

C:\3c.exe

Hola

El otm elimino todo, ahora haz esto para eliminar al otm y su cuarentena.

º Descarga OTC.exe en el escritorio.

º Lo ejecutas y presionas Cleanup.

Con eso la pc quedaria limpia... confirmame


Salu2

Disculpa para que sirve el OTC es un limpiador?

Hola Ceci

Para no volver a infectarte ya que esos archivos vinieron de un pendrive parece. Te recomiendo que ejecutes el Flash Disinfector . Para que no te vuelvas a infectar.




Salu2