Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, Soy nueva en el Foro, aun no se bien como se usa esto, aunque siempre leo todo lo que publican y me ha servido mucho.

Mi consulta: a causa de un troyano que se metio en mi pc, (y leyendo el foro) instale el drweb-cureit 4, funcionó muy bien.

Pero desde que actualice a drweb-cureit 5!, ya no puedo hacer q se ejecute (con la pc en modo normal), es decir, lo abro, clikeo en Ejecutar y luego de eso, pareciera que esta por abrirse, pero nunca lo hace.
Si ingreso a mi pc a modo de prueba de fallos y ejecuto drweb-cureit, anda perfecto.
Q debo hacer para que me ejcute en modo normal (y no solo a modo de fallo)??
....... ya probe de borrarlo y volverlo a bajar de cero y sigue haciendo lo mismo.

Hola,

Puede ser que halla alguna incompatibilidad, o que en modo nolmal, haya algun virus que no lo deja ejecutar, y si se puede en modo seguro, por que en ese modo algunos virus están inactivos.

Sigue, estos pasos, haber si tienes alguna infección.

Por favor, sigue estos pasos, lee bien todas las indicaciones :

Si no puedes hacer algún paso, saltéalo y continuas con los demás.


1 »» Descarga lo siguiente: LOS INSTALAS Y ACTUALIZAS SEGUN SU MANUAL »»»» PERO NO LOS EJECUTES AUN.


» CCLEANER. Lo instalas según Su Manual

» MALWAREBYTE´S. Lo instalas y actualizas según su manual.


2 »»
Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


3 »» Ejecuta las herramientas de una en una y en este orden:


»
MALWAREBYTE. Selecciona hacer un "escaneo completo". Una vez finalizado, si detecta algo, eliges " quitar lo seleccionado ". Si te pide reiniciar, lo haces. En su "registros" quedará guardado el reporte que se genera, cópialo y pégalo en tu próxima respuesta.

»
CCLEANER. usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y archivos obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


4 »» Inicia en modo normal,


5 »»
Realiza un scan online con KASPERSKY ONLINE SCANER VERSIÓN INGLESA Mira su manual. Manual Kaspersky Online Scanner (Versión Inglesa)


En tu próxima respuesta, debes pegar el reporte de MALWAREBYTES, y el de kaspersky online.


Salu2.

Hola, muchas gracias por tan pronta respuesta.
Hice los pasos sugeridos.
Te cuento, yo tenia instalado el AvastHome!, luego consegui el McAfee legal. Como hasta ahora no me tira error o problemas ambos antivirus, los tengo a los dos activos.
-------------------------------------------------------------------------------------------------
Este es el reporte que me dio el MALWAREBYTE

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2964
Windows 5.1.2600 Service Pack 3 (Safe Mode)

15/10/2009 12:36:36 p.m.
mbam-log-2009-10-15 (12-36-29).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 430118
Tiempo transcurrido: 1 hour(s), 16 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)
--------------------------------------------------------------------------------------------------

Este es el reporte que me dio el KASPERSKY

KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, October 18, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Saturday, October 17, 2009 23:16:24
Records in database: 3019738


Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes

Scan area My Computer
A:\
C:\
D:\

Scan statistics
Objects scanned 306370
Threats found 1
Infected objects found 2
Suspicious objects found 0
Scan duration 05:43:29

File name Threat Threats count
C:\Documents and Settings\Kintruy\Configuración local\Datos de programa\Identities\{845BEBF7-D07D-4DB6-BD8E-CA36CBAFE45D}\Microsoft\Outlook Express\Elementos enviados.dbx Infected: Email-Worm.Win32.NetSky.dcz 1

C:\Documents and Settings\Kintruy\Configuración local\Datos de programa\Identities\{845BEBF7-D07D-4DB6-BD8E-CA36CBAFE45D}\Microsoft\Outlook Express\Viajantes.dbx Infected: Email-Worm.Win32.NetSky.dcz 1

Selected area has been scanned.
------------------------------------------------------------------------------------------------------

Consulta:
- El KASPERSKY online scanner, no me dio la opción de eliminar los archivos infectados .............. o yo no me di cuenta de donde se hacia ese paso.
- MALWAREBYTE, siempre que lo hago correr me marca problemas con Hijack.Wind. Y aunque ejecute la opción de eliminar, siempre vuelve a salir lo mismo.

Y ahora que sigue???

Hola,

»»
Error, no debes tener 2 antivirus activos, no ayuda en nada, solo hace que no funcione bien ninguno de los dos. (elije uno de los dos).

»»
El reporte, de malwarebytes, dice no action taken »» significa que no elimino lo que encontro, usastes la opción quitar lo seleccionado ¿?.


»»
Eliminar lo que encontro kas.

Realize lo siguiente:

• Descarga OTM en el escritorio.
• Haz doble clic sobre el icono OTM.exe para ejecutarlo
• Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
• Pega el siguiente script, que se encuentra dentro del recuadro de abajo, en el area "Paste Instructions for items to be Moved"

• dar clic sobre el boton MoveIt!
• Espere hasta cuando el resultado aparezca en el marco Results.
• Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias manualmente,>>> Este reinicio es importante
• En su proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

regresas con el reporte de OTM



Saludos.

Hola,
Realice los nuevos pasos que me indicastes.
Antes de cuento:
- Antivirus, AvastHome o McAffe(legal), la verdad no se cual dejar y cual quitar, teniendo en cuenta lo que me dijistes.
(lo que he notado en este tiempo es q el troyano que suele intantar colarse siempre q navego algunas web, lo detecta el avast, el mcaffe ni lo ve, mismo el mcafee suele frenar un NewPolly.Win32 q el avast no detecto nunca.)
Acepto sugerencias...
-------------------------------------------------------------------------------------------------------
- Malwarebytes:
Tu pregunta: reporte, de malwarebytes, dice no action taken »» significa que no elimino lo que encontro, usastes la opción quitar lo seleccionado ¿?.
Rta: sí, siempre uso la opcion de quitar o borrar lo seleccionado, cuando hago correr el malwarebytes. Pero he notado que si al otro dia lo hago correr de nuevo, vuelve a salir el Hijack.Wind.
Nunca lo elimina de forma definitiva, aunque repita la acción varias veces. :(
-------------------------------------------------------------------------------------------------------

REPORTE OTM
Es muy muy extenso y tendria que pegarlo en 10 mensajes maso menos.
Te paso un link donde lo subi >>>>>>>>>>
Si de esta forma no te sirve, avisame y lo pego aca, con paciencia :)

..... no entiendo mucho, pero puede ser q segun el informe no se ha podido borrar la mayoria esos archivos, y temporales?

Hola,

»
Antes que nada, saca ese enlace, (para la próxima pega aquí el reporte).


»
Yo te recomiendo como antivirus el Avast.



Intenta seguir estos pasos :
»»
Por favor, sigue estos pasos, lee bien todas las indicaciones :

Si no puedes hacer algún paso, saltéalo y continuas con los demás.


1 »»
Descarga lo siguiente: LOS INSTALAS Y ACTUALIZAS SEGUN SU MANUAL »»»» PERO NO LOS EJECUTES AUN.


» » CCLEANER. Lo instalas según Su Manual

» »
DR WEB CURE-IT y su Manual


2 »»
Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


3 »»
Ejecuta las herramientas de una en una y en este orden:


» »
Ejecuta DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminando todo lo que encuentre.

» »
CCLEANER. usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y archivos obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).



4 »»
Inicia en modo normal,

5 »»»
Descarga y ejecuta, http://www.infospyware.com/herramientas/atf-cleaner/
(activa todas sus casillas).


6 »»
Realiza un scan online con : Panda ActiveScan+Manual.

En tu próxima respuesta, debes pegar el reporte de Dr. Web y el de Panda online .


Espero esos reporte, tomate tu tiempo.


Salu2 y Suerte.

Hola,
Disculpa la demora.
realice todos los pasos que me indicastes, te paso los reportes

Reporte drweb-cureit
A0035666.exe - C:\System Volume Information\_restore{06311843-FBCE-4F88-AEA1-57A655CFCE21}\RP30 - Trojan.Fakealert.5794 - Eliminado.
A0035667.exe - C:\System Volume Information\_restore{06311843-FBCE-4F88-AEA1-57A655CFCE21}\RP30 - Trojan.Fakealert.5794 - Eliminado.
A0037798.exe - C:\System Volume Information\_restore{06311843-FBCE-4F88-AEA1-57A655CFCE21}\RP33 - probablemente DLOADER.Trojan - Eliminado.

Reporte Panda
;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-11-10 15:43:58
PROTECTIONS: 2
MALWARE: 10
SUSPECTS: 1
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ============
avast! antivirus 4.8.1351 [VPS 091110-0] 4.8.1351 Yes Yes
McAfee VirusScan Yes Yes
;================================================= ================================================== ================================================== ============
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ============
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@atdmt[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@ad.yieldmanager[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@bs.serving-sys[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@statse.webtrendsl ive[2].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@overture[2].txt
00170557 Cookie/Com.com TrackingCookie No 0 Yes No c:\documents and settings\Kintruy\cookies\Kintruy@terra.com[1].txt
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No c:\system volume information\_restore{06311843-fbce-4f88-aea1-57a655cfce21}\rp26\a0028207.sys
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No c:\system volume information\_restore{06311843-fbce-4f88-aea1-57a655cfce21}\rp21\a0021068.sys
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No c:\system volume information\_restore{06311843-fbce-4f88-aea1-57a655cfce21}\rp3\a0008990.sys
03009106 W32/Xor-encoded.A Virus No 0 Yes No c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plug ins\magneto dx v1.0\ra-mag10.zip[setup/magneto.dat]
03009106 W32/Xor-encoded.A Virus No 0 Yes No c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plug ins\magneto dx v1.0\magneto.dat
;================================================= ================================================== ================================================== ==========
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ===========
No c:\archivos de programa\google\update\1.2.183.13\googleupdate.exe
;================================================= ================================================== ================================================== ===========
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ===========
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
;================================================= ================================================== ================================================== ============

El Panda no me dio la opción de eliminar los virus, troyanos , etc.
Como los elimino?

desde ya muchas gracias!!

Hola,

Paso 1:

Realize lo siguiente:

• Descarga OTM en el escritorio.
• Haz doble clic sobre el icono OTM.exe para ejecutarlo
• Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
• Pega el siguiente script, que se encuentra dentro del recuadro de abajo, en el area "Paste Instructions for items to be Moved"

• dar clic sobre el boton MoveIt!
• Espere hasta cuando el resultado aparezca en el marco Results.
• Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias manualmente,>>> Este reinicio es importante
• En su proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

regresas con el reporte de OTM


Paso 2:

»»
Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI.
»»
Reinicia la Pc, y vuelve a activar restaurar el sistema.



Trae el reporte de OTM.


Saludos.

Hola;

Realice el paso 1: El reporte que me dio el OTM es este:

All processes killed
========== FILES ==========
File/Folder c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plugins\magneto dx v1.0\magneto.dat moved successfully.
File/Folder c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plugins\magneto dx v1.0\ra-mag10.zip moved successfully.
File/Folder c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plug ins\magneto dx v1.0\magneto.dat moved successfully.
File/Folder c:\documents and settings\Kintruy\escritorio\soft seminario de edicion\plug ins\magneto dx v1.0\ra-mag10.zip moved successfully.
File/Folder c:\archivos de programa\google\update\1.2.183.13\googleupdate.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Kintruy
->Temp folder emptied: 98304 bytes
->Temporary Internet Files folder emptied: 746991 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6e8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16867 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,95 mb

OTM by OldTimer - Version 3.0.0.6 log created on 11102009_195023

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_6e8.dat moved successfully.

Registry entries deleted on Reboot...

Tambien realice el paso 2.
mi duda en este paso, es: si debia darme algun reporte, ya que Deshabilite RESTAURAR SISTEMA, Reinicia la Pc, y volvi a activar restaurar el sistema.
Pero no me dio ningun reporte al respecto.

Esta bien asi?

Hola realiza esto, para eliminar OTM.

»» Ejecuta OTM.exe
»» Asegúrate de estar conectado a Internet.
»» Presiona el botón CleanUp! .
»» Confirma el inicio del proceso de limpieza pulsando en "Yes" .
»» Aparecerá un listado de las herramientas usadas durante la desinfección.
»» OTM pedirá que reinicie el sistema, confírmelo pulsando en "Yes" .



Esta bien, no tiene que dar ningún reporte. Ese paso sirve para eliminar los virus alojados en viejos puntos de restauración. (se elimina todo lo que se encontrba en: C:\System Volume Information\_restore......


La pc, ya debería estar limpia.


Comenta como se encuentra y si podemos dar el tema por solucionado.


Saludos.