Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

A tu pregunta de si ay que eliminar los executables que no se poden comprobar, my respuesta es que no no se puede salir por el equipo eliminando executables lo que hay que hacer es ver su autenticidad, (puedes ver en net), si estas en duda- debes entonces procurar si ese programa se esta conectando por net, con alguna puerta abierta, y que rasto deja en tu proprio pc.
Esto es muy demorado...

Bueno por lo qeu vemos por tu log anterior tu pc esta mejor, aun asi te aconsejo solo por cuestion de precaucion a:


Usa la herramienta de Sophos antirootkit, y pasalo http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html, Despues pasa el malware bytes una ultima vez ok.

Comenta-me algo de como fue.

Te estoy indicando esto porque me parece que tu ordenador puede no estar aún limpio, pero ahora por lo que veo no tienes tanto problemas en auditorar el mismo, o sea lo que te hemos dicho hasta aqui ha funcionado solo hay que seguir un poco más si te pasa el test de sophos ahora pudremos decir que tu problema de malware estara solucionado.

El rich video que muestra es seguro me parece que es de un programa de Cyberlink.

es de video.

Ok, el Sophos antirootkit y el Malwarebytes' Anti-Malware, los paso en modo seguro?

Los debes pasar en modo normal ahora, ya que tu máquina puede estar ya limpia.

Si no te deja pasar-los en m,odo normal algo va mal en tu pc. Si es asi me lo comentas.

Haz una pasaje con sophos en primero despues el malwarebytes.

si no ay nada podremos decir que tu pc esta limpia.

(ahora bien si no consigues pasr-lo en modo normal algo aún habrá por la máquina.)

Es exactamente por eso que te pido que pases sophos es para intentar ter las maiores certezas de que tu pc ya esta limpio.

Que seas feliz.

Bueno, esto es lo que ha sacado el Sophos Anti-Rootkit:



El Malwarebytes' Anti-Malware no ha encontrado nada:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3062
Windows 5.1.2600 Service Pack 3

30/10/2009 23:12:50
mbam-log-2009-10-30 (23-12-50).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 202757
Tiempo transcurrido: 3 hour(s), 14 minute(s), 21 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Tambien hice un escaneo con el Avira RootKit Detection y me salió lo siguiente:

Hidden key : HKEY_LOCAL_MACHINE\Software\Microsoft\MediaPlayer\ services\msn_music_es
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\MediaPlayer\ services -> noservices
Pero no me daba ninguna opción de eliminarlos.

He intentado tambien pasar varias veces el Panda Antirootkit, pero cuando llega a la sección "Registro de Windows", me sale esto:



De todas formas, parece que esto va un poco mejor, pero solo un poco, todavía se me queda pillado muchas veces y sigue lento.

Gracias de nuevo por tu interés.

Salu2.

Haz un log con hijackthis y pon-lo aqui ok a ver si viendo el log puedo ver algo de que no estas sopeschando.

Bueno el pavark.exe me parece que deb dde ser del panda rootkit (nunca lo use), no lo necessitamos, nos basta con el sophos y el avira.

Bueno como has podido ver lo que tu sistema tenia no era un malware comun era un rootkit (y injeccion troyana), el rootkit es dificil de detectar ya que se hace pasar por otros programas o valores.

Voy a esperar que me pongas por aqui el log de hijack ok, enquanto puedes hacer una cosita a ver si asi le damos un poco mas de fuerza a tu pc, si puedes instala ahora el antivirus de avira, el free te vale.
http://www.avira.com/en/download/index.html

Haz un sacan con el en modo normal...

Bueno este processo que estas llevando es muy costoso ya que aun no tienes habito de hacer incursiones de desinfecion por ti en tu pc - con el tiempo vas ganando competencias como lo hice yo y no vas a quedarte en esperar a que las herramientas de protecion lo hagan todo.

Si puedes debes de mudar tus passwords de e-mail o otras paginas importantes de todas tus cuentas - si utilizabas esa pc para acceder-las, ya que tenias un keylogger alojado en tu pc me parece a mi.

Espero tu log

Que seas feliz.

hola, es para que sepan que esta prohibido poner log del hijackthis en el foro a menos solo que un usuario de parte del staff te lo pida. si posteas el log del hijackthis, sera editado..

lo mejor que puedo hacer es mandar a mover el tema al foro de virus para que reciba muchas atencion, si el autor lo desea

Ok
Entonces rectifico Juanpa91 no pongas el log, aqui en este hilo ve-te a la seccion que le corresponde , si es que se puede...

EN mi perfil puedes ver como contactar-me, por mail.

Haz los pasos que te dije, y comenta algo ok Juanpa91

Pasas el antivirus que te recomende, y como no puedes poner el log pasa-te la herramienta de windows : (despues)

http://www.microsoft.com/security/malwareremove/default.aspx

te va a AYUDAR MUCHO . pasa-la solo despues del antivirus.

sI esto no funciona y si no puedo ver tu log va a ser dificil prever que injeccion esta retardando tu pc, habria que ver el registro de entradas tal como ya te comente. Pero con calma ya trataremos de poner tu pc bien protegido y fuera de bootnets etc.


Gracias por avisar jusunx.

que seas feliz.

Creo que tienes razón jusunx, ya lo había pensado, pero no sabía como hacerlo, así que por mí, de acuerdo.
En cuanto a las indicaciones de portaro, decir que no soy ningun experto, pero sí tengo cierta experiencia en desinfecciones, sobre todo desde que estoy en este foro, que donde he aprendido (y sigo aprendiendo) lo poco que sé, pero sí tienes razón en lo de "hacer incursiones", a eso no estoy habituado, y me causa más reparo adentrarme en tales tareas. Bueno, gracias de nuevo por vuestra ayuda, y siguiendo tus indicaciones, me pongo manos a la obra con el Avira y el malwareremove, mientra que jusunx mueve el tema.

Salu2.

Ahí va el reporte del Avira:



Avira AntiVir Personal
Report file date: domingo, 01 de noviembre de 2009 13:20

Scanning for 1851309 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : YIPURIYIYI

Version information:
BUILD.DAT : 9.0.0.410 18074 Bytes 25/09/2009 11:56:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21/07/2009 13:36:14
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/02/2009 10:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27/02/2009 10:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 09:21:42
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 12:14:21
ANTIVIR3.VDF : 7.1.6.173 71680 Bytes 30/10/2009 12:14:25
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 01/11/2009 12:16:38
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 01/11/2009 12:16:35
AESCN.DLL : 8.1.2.5 127346 Bytes 01/11/2009 12:16:23
AERDL.DLL : 8.1.3.2 479604 Bytes 01/11/2009 12:16:19
AEPACK.DLL : 8.2.0.2 422263 Bytes 01/11/2009 12:16:10
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 09:59:39
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 01/11/2009 12:15:56
AEHELP.DLL : 8.1.7.0 237940 Bytes 01/11/2009 12:15:11
AEGEN.DLL : 8.1.1.70 364917 Bytes 01/11/2009 12:14:45
AEEMU.DLL : 8.1.1.0 393587 Bytes 01/11/2009 12:14:38
AECORE.DLL : 8.1.8.1 184693 Bytes 01/11/2009 12:14:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 01/11/2009 12:16:39
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 05/12/2008 10:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05/12/2008 10:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15/05/2009 15:39:58
RCTEXT.DLL : 9.0.37.0 86785 Bytes 17/04/2009 10:19:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: domingo, 01 de noviembre de 2009 13:20

Starting search for hidden objects.
'50156' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'Dot1XCfg.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'dllhost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'iFrmewrk.exe' - '1' Module(s) have been scanned
Scan process 'ZCfgSvc.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '1' Module(s) have been scanned
Scan process 'WLIDSVCM.EXE' - '1' Module(s) have been scanned
Scan process 'CLSched.exe' - '1' Module(s) have been scanned
Scan process 'WLIDSVC.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'RichVideo.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'GoogleCrashHandler.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdate.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'ehSched.exe' - '1' Module(s) have been scanned
Scan process 'ehrecvr.exe' - '1' Module(s) have been scanned
Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
47 processes with 47 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '63' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.


End of the scan: domingo, 01 de noviembre de 2009 17:10
Used time: 3:50:20 Hour(s)

The scan has been done completely.

8646 Scanned directories
574692 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
574691 Files not concerned
10465 Archives were scanned
1 Warnings
1 Notes
50156 Objects were scanned with rootkit scan
0 Hidden objects were found

Muy bien esta limpio, el avira ha echo el sacan.

Tu pc sigue muy lenta?
Demora mucho en encerrar?

Si asi es puede o no que sea por algun malware que no esta siendo detectado/o puede que sea algun programa o conflitos de sistema.

El ultimo que te puedo recomendar es como ya te dije pasar la herramienta de windows (que tiene una base de datos de los malwares que más se hacen pasar por windows executables)

http://www.microsoft.com/security/malwareremove/default.aspx

Despues dime algo.

Ah yo teambién sigo aprendiendo mucho, con este foro que nos brinda la possibilidad de eso mismo aprender.

Que seas feliz.