Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Al correr un scan con el AVG este detecto el troyano generic 14.BUEO en varios archivos. Elimine los mismos, y ahora el AVG no encuentra mas este troyano.
Mi consulta es sobre lo que me llevo a sospechar de tener un virus (y luego encontrarlo) : Al correr un scan del ADS Spy (integrado en el Hijackthis) el mismo reporta muchos archivos que contienen ADSs, los cuales presentan la misma firma MD5. Algunos de estos archivos fueron los detectados por el AVG como infectados, los demas los borre desde el mismo ADS Spy.
Mi consulta es : el MD5 de esos archivos se corresponde con el virus? Sucede que el ADS Spy volvio a encontrar un archivo .url con ese MD5 nuevamente....

Agradezco si me pueden aclarar si ese MD5 en particular se corresponde con el troyano ya que encuentro otros reportes (del RunAnalyzer) que lo detectan para ciertos archivos de start up.
He leido algo sobre las firmas MD5 pero quisiera estar seguro de como interpretar cuando encuentro la misma firma relacionada con un troyano en diferentes lugares.
Quedo muy agradecido desde ya por cualquier informacion.

log original del adsspy, troyano detectado solo en el instalador del zone alarm, todos los archivos que aparecen aqui fueron eliminados.


=========================================
C:\Documents and Settings\All Users\Application Data\TEMP : A9662AE0 (126 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : DFC5A2B2 (113 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : A9662AE0 (126 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : DFC5A2B2 (113 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\holayfotos.zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\masfotosdeestosdas.zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\Programas\awatch\awatch.chm : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\Programas\awatch\readme.txt : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\Programas\awatch.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\Programas\cports\cports.chm : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Desktop\Programas\cports\readme.txt : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Favorites\Links\gmail correo electrónico de Google.url : favicon (1150 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Favorites\Links\¡Te damos la bienvenida a Facebook! Facebook.url : favicon (318 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Internet\dap92_bros.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Seguridad\Spyware Doctor\sdasetup.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Seguridad\Zone Alarm\zapSetup_80_298_004_es.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Seguridad\Zone Alarm\ZASPSetup_80_298_035_es.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\ccsetup222.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\awatch.zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\cports.zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\downtester_setup.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\ipnetinfo_setup.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\netresview.zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\ofview_setup.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\processactivityview. zip : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\My Documents\My Completed Downloads\Utilitarios\Nirsoft\smsniff_setup.exe : Zone.Identifier (26 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

=============================================

Al escanear nuevamente aparece nuevamente la misma MD5 en el archivo facebook.url, la verdad, no entiendo que puede ser......

Hola Morgan Supercat. Por favor, sigue estos pasos:

Para mayor comodidad, IMPRIME ESTA HOJA. Si no puedes hacer algún paso, lo saltas y continúas.

- Descarga y/o actualiza estas herramientas:
Dr. Web CureIt - Manual.
CCLEANER - Manual.
Malwarebytes' Anti-Malware - Manual.

- Ahora has esto:

• Apaga Restaurar sistema (System Restore).
• Reinicia en "Modo Seguro" (Si no puede iniciar en Modo Seguro, omite este paso).

- EJECUTA CCleaner - EJECUTA Dr. Web CureIt, primero realizando su examen rápido y luego el completo, eliminando todas las infecciones que encuentre.

- EJECUTA Malwarebytes' Anti-Malware. Seleccionas su opción de hacer un "escaneo completo". Cuando termine presiona la opción "quitar todo lo seleccionado".

- Pasas CCleaner nuevamente en su opción de limpiador.

- Realiza un Análisis Online con Kaspersky como lo indica su Manual. Si usas Mozilla Firefox recuerda usar la extensión IE Tab para poder realizar el escaneo online sugeridos anteriormente.

Reinicia y comenta que tal va tu PC, junto al reporte generado por Malwarebytes' Anti-Malware, Dr. Web CureIt y Kaspersky.

Saludos.

Gracias por el aporte!!!! Te cuento que he realizado todos los testeos en mi pc, pero no me reportan ninguna infeccion, he usado cuanto programa anda en la vuelta y ese virus (por lo que lei en otros threads) pareceria ser un falso positivo (salta en escaneos de modems usb, en la unidad "Optica" del mismo...)

Tengo sin emgargo un detalle persistente. (tambien reinstale el explorer desde 0, tengo las actualizaciones automaticas, etc)
Detalle : El ADS spy integrado en el Hijack this me reporta streams en archivos temporales, los cuales borro sin problemas, entendiendo que no tienen por que ser datos malignos (tu me corregiras....)
Pero lo curioso es que : cuando agrego un favorito en el explorer8, el ADS Spy me reporta siempre un stream para cada .url agregada.....
Esta es mi principal duda, espero no sea una trivialidad pero he relalizado busquedas al respecto y no encuentro informacion de esto.

Un ejemplo : agrege esta pagina a los favoritos y el ADS Spy muestra :

=====
C:\Documents and Settings\All Users\Application Data\TEMP : 5C321E34 (125 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : A9662AE0 (126 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : 5C321E34 (125 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\All Users\Application Data\TEMP : A9662AE0 (126 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Documents and Settings\Ego\Favorites\Links\Troyano Generic 14.BUEO detectado - Foro de Spyware.url : favicon (8478 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

====

Le doy (lo estoy haciendo ahora) remove selected, nuevo scan, nada aparece

Agrego nuevamente esta pagina como favorito, escaneo de nuevo, y:
====
C:\Documents and Settings\Ego\Favorites\Links\Foro de Spyware - Responder a Topico.url : favicon (8478 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
====

La preocupacion principal es que antes de realizar todos los testeos y limpiezas anteriores, el ADS Spy me reportaba los streams tambien en archivos, los cuales elimine de forma segura.

Resumiendo : Es normal este reporte en archivos temporales y en las URLs que agrego como favoritas, o es un sintoma que realmente se debe seguir buscando algun malware/virus???

Agradezco enormemente cualquier ayuda ya que la maquina anda perfecto salvo este unico detalle pendiente. Si alguien me indica que lo ignore me hara muy feliz, si no me empeniare en buscarle la vuelta.

Graciassssss (perdon lo extenso)
(perdon la molestia, quedo a las ordenes)

Hola en esta seccion no se puede dar soporte con ADS Spy, pero estas haciendo el un Quick scan o no.

Necesito los reportes de las demas herramientas.

Salu2.

OK, entiendo lo del ADS Spy, si conoces donde puedo realizar esta consulta te agradeceria ya que en el foro de Hijackthis tampoco corresponde....tu pregunta:lo corro en el modo completo, con el Ignore safe streams. Bueno dejemos este tema aparte.

Reportes: te comento que no pude realizar el scan online de Karpersky, me da error y finaliza. Lo reemplaze por un scan full online del eset, no reporto absolutamente nada mal. Tambien corri local un full del AVG y del AVAST, nada.
(Realize los scans segun lo indicado, siguiendo los pasos, incluyendo el ccleaner, etc)

El reporte del Malware bytes :
====
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2988
Windows 5.1.2600 Service Pack 3 (Safe Mode)

19/10/2009 07:06:04 p.m.
mbam-log-2009-10-19 (19-05-59).txt

Tipo de examen : Examen Completo (C:\|D:\|F:\|)
Objetos examinados: 127500
Tiempo transcurrido: 15 minute(s), 4 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Inte rnet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)
=======
Supondo que el "Hijack es debido al spybot....(bloqueo de cambio de homepage)



En cuanto al reporte del Dr. WEB Cure it, el mismo es larguisimo, no creo que corresponda pegarlo aqui, tu me indicas como hago si lo necesitas.
Te comento que reporto como sospechoso el archivo Silentrunners.vbs, pero ningun otro .vbs por lo que descarto un contagio de los mismos, igual elimine el SilentRunners para eliminar posibilidades. El reporte marca archivos "empaquetados"....no se si es importante esto....

En definitiva, no quiero molestarte mas, ya has sido mas que amable en responder, a fin de cuentas el pc anda correctamente y no consigo encontrar virus o similar alguno, he corrido todo lo que he encontrado, desde antispyware hasta detectores de rootkits sin ver nada sospechoso.

Lo unico persistente es el agregado de streams a las urls que agrego como favoritas, al igual que tenian los archivos que habia infectado el troyano original.
Voy a investigar mas al respecto de este tema ya que hasta el momento no encuentro relacion con algun malware activo.

Nuevamente gracias, quedo a tus ordenes y escucho cualquier consejo, muy amable.

Hola tenes que eliminar la infeccion que encuentra Malwarebytes para eso cuando termine el scan presiona la opción "quitar todo lo seleccionado".


Salu2.


PD: avisanos cuando damos el tema por solucionado?

Gracias por la ayuda, demos por terminado el tema ya que a lo que se refiere el titulo ya fue solucionado. Muchas gracias

Me alegro de que se halla resuelto tu problema.




PD: si deseas REABRIR ESTE TEMA, presiona y un MODERADOR atenderá tu petición.