Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

tengo problemas para realizar descargas de megaupload y rapidshared y otras paginas, y como ya revise otros post decidi poner manos a la obra por que el problema parece ser el mismo, ya tengo los registros vi otro post, y me decidi a hacer los examenes correspondientes.

1 con SUPERAntiSpyware Free
2 con MalwareBytes
3 con Ccleaner
4 con Kaspersky en linea.
hice los examenes que indican en modo a prueva de errores y otros en la forma normal.

bueno el SUPERAntiSpyware Free, me dice que tengo infecciones pero, no se donde darle para que que me muestre el informe, como si pude conseguir los demas. todo lo metio en una cuarentena.

el MalwareBytes, hice todos los pasos al pie, y lo que me salio le di a (quitar lo seleccionado) como dios manda. y aca esta el reporte:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2895
Windows 5.1.2600 Service Pack 3 (Safe Mode)

02/10/2009 13:32:33
mbam-log-2009-10-02 (13-32-27).txt

Tipo de examen : Examen Completo (A:\|C:\|D:\|E:\|)
Objetos examinados: 219342
Tiempo transcurrido: 1 hour(s), 3 minute(s), 34 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 21
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 4
Carpetas Infectadas: 0
Ficheros Infectados: 11

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AmyMastura.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrsz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsasc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMSSS.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\bycfht.exe (Spyware.OnlineGames) -> No action taken.
C:\w9uxx92.exe (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\Victor\Configuración local\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Victor\Configuración local\Temp\d.exe (Trojan.Downloader) -> No action taken.
C:\rg9g9bgq.exe (Spyware.OnlineGames) -> No action taken.
C:\Archivos de programa\Microsoft Office\OFFICE11\PUB60SP.mrc (Backdoor.IRCBot) -> No action taken.
C:\Archivos de programa\Microsoft Office\OFFICE11\smss.exe (Backdoor.IRCBot) -> No action taken.
C:\Archivos de programa\Microsoft Office\OFFICE11\yofc.dll (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Victor\Configuración local\Temp\herss.exe (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.


este fue el informe que me dio el Kaspersky en linea, hice todo al pie de la letra:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Friday, October 2, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, October 02, 2009 12:17:25
Records in database: 2889641
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Objects scanned: 102852
Threats found: 5
Infected objects found: 9
Suspicious objects found: 0
Scan duration: 03:13:31


File name / Threat / Threats count
C:\autorun.inf Infected: Worm.Win32.AutoRun.gvw 1
C:\Documents and Settings\Limpa\Configuración local\Archivos temporales de Internet\Content.IE5\VY0HZEPI\help[1].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Messenger\rotciv_1984@hotmail.c om\ObjectStore\Backgrounds\jiemEqdH1ReRc9BLXdTg85+ MrrA=.dt2 Infected: Trojan-Clicker.HTML.IFrame.rp 1
C:\Documents and Settings\Victor\Mis documentos\Mis imágenes\post23011290418689gr.jpg Infected: Trojan-Clicker.HTML.IFrame.rp 1
C:\mranjm.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1
E:\AUTORUN.FCB Infected: Trojan.Win32.AutoRun.cc 1
E:\mranjm.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1
E:\autorun.inf Infected: Worm.Win32.AutoRun.gvw 1
E:\rg9g9bgq.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1

Selected area has been scanned.


llevo todo el dia en eso XD, bueno eso es todo les agradesco su ayuda de antemano. y revisen mis registros para el o los siguientes pasos. gracias.

Hola Rascamastan por favor sigue estos pasos:

Para mayor comodidad, IMPRIME ESTA HOJA. Si no puedes hacer algún paso, lo saltas y continúas.

- Descarga y/o actualiza estas herramientas: (pero no los ejecute aun).

• Flash_Disinfector.exe
• CCLEANER - Manual.
• Malwarebytes' Anti-Malware - Manual.

- Ahora has esto:

• Apaga Restaurar sistema (System Restore).
• Reinicia en "Modo Seguro" (Si no puede iniciar en Modo Seguro, omite este paso).

- Ejecutar Flash_Disinfector.exe en el PC y luego Colocar el Pendrive en el puerto USB y ejecutarlo nuevamente.
- Ejecute Malwarebytes' Anti-Malware. Seleccionas su opción de hacer un "escaneo completo". Cuando termine presiona la opción "quitar todo lo seleccionado".

- Ejecute CCleaner usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

- Realiza un Análisis Online con Kaspersky como lo indica su Manual. Si usas Mozilla Firefox recuerda usar la extensión IE Tab para poder realizar el escaneo online sugeridos anteriormente.

- Reinicia y comprueba el sistema.

Saludos.

entonces lo que me pides es volver a hacer los mismos pasos, lo unico que cambia es el Flash_Disinfector.exe.
bueno mañana hago todo esto, y te informo. gracias.

No es todo igual porque si te fijas el scan de Malwarebytes' Anti-Malware no eliminaste ninguna infeccion y por eso tenes los manuales que te deje en mi respuesta.

Salu2.

bueno ya hice los examenes estos fueron los resultados:

Malwarebytes' Anti-Malware 1.41
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2895
Windows 5.1.2600 Service Pack 3 (Safe Mode)

05/10/2009 10:55:38
mbam-log-2009-10-05 (10-55-38).txt

Tipo de examen : Examen Completo (A:\|C:\|D:\|E:\|)
Objetos examinados: 223709
Tiempo transcurrido: 31 minute(s), 48 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


Kaspersky


--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, October 5, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, October 05, 2009 20:18:58
Records in database: 2918039
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Objects scanned: 103316
Threats found: 6
Infected objects found: 10
Suspicious objects found: 0
Scan duration: 02:42:57


File name / Threat / Threats count
C:\autorun.inf Infected: Worm.Win32.AutoRun.gvw 1
C:\Documents and Settings\Limpa\Configuración local\Archivos temporales de Internet\Content.IE5\VY0HZEPI\help[1].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Messenger\rotciv_1984@hotmail.c om\ObjectStore\Backgrounds\jiemEqdH1ReRc9BLXdTg85+ MrrA=.dt2 Infected: Trojan-Clicker.HTML.IFrame.rp 1
C:\Documents and Settings\Victor\Configuración local\Temp\c.exe Infected: Trojan.Win32.FraudPack.uxt 1
C:\Documents and Settings\Victor\Mis documentos\Mis imágenes\post23011290418689gr.jpg Infected: Trojan-Clicker.HTML.IFrame.rp 1
C:\mranjm.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1
E:\AUTORUN.FCB Infected: Trojan.Win32.AutoRun.cc 1
E:\mranjm.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1
E:\autorun.inf Infected: Worm.Win32.AutoRun.gvw 1
E:\rg9g9bgq.exe Infected: Trojan-GameThief.Win32.Magania.cdwc 1

Selected area has been scanned.


bueno como yo tengo el avast siempre me dice algo sobre un fichero sospechoso que es el que se encontro en el mensaje del KASPERSKY es el C:\mranjm.exe
y manda a reiniciar para eliminar la infeccion y nunca la elimina, bueno espero que con esto me ayudes a poder descargar de las paginas de las cuales no puedo. y disculpa la tardanza es que era fin de semana y estaba en otras cosas :)

Hola de nuevo.

Descarga OTM y lo guardas en el Escritorio.

• Haz doble clic sobre el icono OTM.exe para ejecutarlo.
  
• Asegúrate que este marcado "Unregister Dll's and Ocx's".
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pégalo o en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

Haz clic en el boto rojo MoveIt! para lanzar la supresión.

• Espera hasta cuando el resultado aparezca en el marco Results.
• Permite que se reinicie el equipo, esto es importante.

Envía el informe (reporte) de OTM situado sobre C: \ _OTM\MovedFiles\***_***.log


==========================

Descarga y ejecuta Flash_Disinfector.exe en el PC y luego Colocar el Pendrive en el puerto USB y ejecutarlo nuevamente.
Saludos, comenta como va ahora tu PC.

todo listo lo unico que paso fue que uno de los archivos salio corriendo y le cayo al avast, y lo puse en cuarentena XD. deberia eliminarlo? o se lo mando a la aplicacion OTM. es el que esta bedajo.


C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Messenger\rotciv_1984@hotmail.c om\ObjectStore\Backgrounds\jiemEqdH1ReRc9BLXdTg85+ MrrA=.dt2 not found.




All processes killed
========== FILES ==========
C:\autorun.inf moved successfully.
C:\Documents and Settings\Limpa\Configuración local\Archivos temporales de Internet\Content.IE5\VY0HZEPI\help[1].rar moved successfully.
File/Folder C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Messenger\rotciv_1984@hotmail.c om\ObjectStore\Backgrounds\jiemEqdH1ReRc9BLXdTg85+ MrrA=.dt2 not found.
C:\Documents and Settings\Victor\Configuración local\Temp\c.exe moved successfully.
C:\Documents and Settings\Victor\Mis documentos\Mis imágenes\post23011290418689gr.jpg moved successfully.
C:\mranjm.exe moved successfully.
File/Folder E:\AUTORUN.FCB not found.
File/Folder E:\mranjm.exe not found.
File/Folder E:\autorun.inf not found.
File/Folder E:\rg9g9bgq.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Esmirna
->Temp folder emptied: 2194471 bytes
->Temporary Internet Files folder emptied: 6734577 bytes
->Java cache emptied: 20604 bytes
->FireFox cache emptied: 4810899 bytes

User: Limpa
->Temp folder emptied: 703765465 bytes
->Temporary Internet Files folder emptied: 91166214 bytes
->Java cache emptied: 748951 bytes
->FireFox cache emptied: 4886279 bytes
->Apple Safari cache emptied: 329052 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 8466579 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3410130 bytes

User: Victor
->Temp folder emptied: 137089241 bytes
File delete failed. C:\Documents and Settings\Victor\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 55894068 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 5417309 bytes
->Google Chrome cache emptied: 856432 bytes
->Apple Safari cache emptied: 3185263 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134225 bytes
%systemroot%\System32 .tmp files removed: 2909 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_478.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 213656 bytes
RecycleBin emptied: 2138 bytes

Total Files Cleaned = 983,61 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10062009_134808

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_478.dat moved successfully.

Registry entries deleted on Reboot...


bueno las paginas de descargas megaupload y rapidshare no han cambiado en nada.

Ahora, debes eliminar el OTM de la siguiente manera:

º Descarga OTC.exe en el escritorio.

º Lo ejecutas y presionas Cleanup.

Eso eliminará la a OTM, su cuarentena del OTM y a OTC.exe

Realiza un nuevo scan online y luego comenta como esta andando. Saludos.

bueno disculpa lo tarde que respondo, bueno te informo ya la pagina por lo menos me carga rapido. pero aun sigo sin poder descargar. me dice: Su dirección IP xx.xxx.xx se encuentra descargando 284063201 bites del archivo MP4. cosa que es mentira yo no estoy descargando nada y la ultima vez que descargue fue hace como 4 meses. y asi me pasa con todos los tipos de archivos en las paginas ya mencionadas megaupload y rapidshare. ahora que debo hacer el problema sera la configuracion de algo??

Me tenes que traer el nuevo reporte que te pedi.

Salu2.