Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,
he pasado el active scan del panda.
Pego el informe.
Todos los archivos los borré a mano, excepto los que eliminó el Panda (sólo los que ponía desinfeccion gratuita.)
No pude borrar las claves hkey_local_machine\software\classes\clsid\{21ffb6c 0-0da1-11d5-a9d5-00500413153c} y hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} pq no sé donde ubicarlas.
Si podéis indicarme com ubicarlas para poder borrarlas.
----------------------------
;************************************************* ***************
PROTECTIONS
Description Version Active Updated
;================================================= ========
Kaspersky Internet Security 8.0.0.454 Yes Yes
;================================================= ========
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ========
00018331 adware/gator Adware No 0 Yes No hkey_local_machine\software\classes\clsid\{21ffb6c 0-0da1-11d5-a9d5-00500413153c}
00018331 adware/gator Adware No 0 Yes No hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
00024402 Exploit/iFrame HackTools No 0 Yes No c:\documents and settings\administrador\configuración local\datos de programa\im\identities\{6caecf60-637a-11d0-b9b5-444553540000}\message store\inbox.imm[~0000567.~]
00098232 W32/Netsky.P.worm Virus No 0 Yes No c:\documents and settings\administrador\configuración local\datos de programa\im\identities\{6caecf60-637a-11d0-b9b5-444553540000}\message store\inbox.imm[message.scr]
01895149 Malicious Packer SecRisk No 0 Yes No c:\archivos de programa\swishstudio\swishstudio.exe
01895149 Malicious Packer SecRisk No 0 Yes No c:\archivos de programa\swishmax\swishmax.exe
01895149 Malicious Packer SecRisk No 0 Yes No c:\archivos de programa\swish v2.01 esp\swish2.exe
03255708 HackTool/MSNpass.G HackTools No 1 Yes No c:\software\diosmio\mspass.zip[mspass.exe]
03378493 Generic Trojan Virus/Trojan No 0 Yes No c:\adriana\antimalicia\bfu.zip[bfu.exe]
04416089 Generic Trojan Virus/Trojan No 0 Yes No c:\adriana\plug\glow-n-sparkle.v2.0.for.photoshop\sgegns20.zip[installer.exe]
04416089 Generic Trojan Virus/Trojan No 0 Yes No c:\adriana\plug\glow-n-sparkle\glow20_4ps5.zip[installer.exe]

;================================================= =========
SUSPECTS
Sent Location
;================================================= ========
No c:\adriana\aatrabajo2\nuevos\tmpgencsuite\tmpgencs uite\tmpgenc dvd source creator v2.1.3.8\tmgnfo.exe
No c:\adriana\aatrabajo2\nuevos\tmpgencsuite.rar[tmpgencsuite\tmpgenc dvd source creator v2.1.3.8\tmgnfo.exe]
No c:\software\ado_vs1032\adorage vitascene 1.0.32 (titulador para vegas)\vitascene-setup.exe
No c:\software\ado_vs1032\ado_vs1032.rar[adorage vitascene 1.0.32 (titulador para vegas)\vitascene-setup.exe]
No c:\software\totalcmd\totalcmd.exe
;================================================= ========


-----------------------------------------------------


En cuanto esté disponible le pasaré el Kasperky online.
Creeis que debo hacer algo más?
Gracias por vuestra ayuda.
Vert.

Hola,

Con esto, eliminaremos lo que encontró panda.


Realiza lo siguiente:

• Descarga OTM en el escritorio.
• Haz doble clic sobre el icono OTM.exe para ejecutarlo
• Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
• Pega el siguiente script, que se encuentra dentro del recuadro de abajo, en el area "Paste Instructions for items to be Moved"

• dar clic sobre el boton MoveIt!
• Espere hasta cuando el resultado aparezca en el marco Results.
• Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias manualmente,>>> Este reinicio es importante
• En su proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

regresas con el reporte de OTM


»
la versión inglesa de kas. esta funcionando. Igual, por ahora trae el reporte de OTM.


Saludos.

Hola Fer21021,
gracias por las intrucciones.
Aquí pego el reporte. Los que no encontró son los que borré a mano.

---------------------------------
All processes killed
========== FILES ==========
File/Folder c:\adriana\antimalicia\bfu.zip not found.
c:\adriana\plug\glow-n-sparkle.v2.0.for.photoshop\sgegns20.zip moved successfully.
File/Folder c:\adriana\plug\glow-n-sparkle\glow20_4ps5.zip not found.
c:\archivos de programa\swish v2.01 esp\Swish2.exe moved successfully.
c:\archivos de programa\swishmax\SwishMax.exe moved successfully.
c:\archivos de programa\swishstudio\SWiSHstudio.exe moved successfully.
c:\documents and settings\administrador\configuración local\datos de programa\im\identities\{6caecf60-637a-11d0-b9b5-444553540000}\message store\Inbox.imm moved successfully.
File/Folder c:\software\diosmio\mspass.zip not found.
File/Folder c:\adriana\aatrabajo2\nuevos\tmpgencsuite\tmpgencs uite\tmpgenc dvd source creator v2.1.3.8\tmgnfo.exe not found.
File/Folder c:\adriana\aatrabajo2\nuevos\tmpgencsuite.rar not found.
c:\software\ado_vs1032\adorage vitascene 1.0.32 (titulador para vegas)\vitascene-setup.exe moved successfully.
c:\software\ado_vs1032\Ado_VS1032.rar moved successfully.
c:\software\totalcmd\TOTALCMD.EXE moved successfully.
========== REGISTRY ==========
Registry key hkey_local_machine\software\classes\clsid\{21ffb6c 0-0da1-11d5-a9d5-00500413153c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21ffb6c 0-0da1-11d5-a9d5-00500413153c}\ not found.
Registry key hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21ffb6c 0-0da1-11d5-a9d5-00500413153c}\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 16703 bytes
->Temporary Internet Files folder emptied: 6376870 bytes
->Java cache emptied: 5938764 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 1247109 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 13,05 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10272009_032247

Files moved on Reboot...

Registry entries deleted on Reboot...
-----------------------------

Gracias

Hola ,

Paso 1:

realiza esto, para eliminar OTM.

»» Ejecuta OTM.exe
»» Asegúrate de estar conectado a Internet.
»» Presiona el botón CleanUp! .
»» Confirma el inicio del proceso de limpieza pulsando en "Yes" .
»» Aparecerá un listado de las herramientas usadas durante la desinfección.
»» OTM pedirá que reinicie el sistema, confírmelo pulsando en "Yes" .


Paso 2:

Descarga y ejecuta RegASSASSIN

1. Al abrirlo verás una ventana como esta:
   
   
   
   
2. En donde pone clave del registro copias y pegas lo siguiente:
   
   hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
   
   
   De a 1 por vez

   .....................

   
   
3. Haces clic en Delete.

Paso 3 :

Por ultimo, (esperemos )

Realiza un nuevo scan online, con KASPERSKY ONLINE SCANER VERSIÓN INGLESA Mira su manual. Manual Kaspersky Online Scanner (Versión Inglesa)

(recuerda usar la versión inglesa)
(en caso que no puedas con este, intenta con Panda).


Nos comentas como anda esa PC.


Saludos y Suerte.

Hola,
antes de todo, gracias por la ayuda.
He seguido las intrucciones y pego el informe.
No he podido pasarle el Kaspi online. Finalmente le pasé el Panda online.

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-10-29 14:16:42
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Kaspersky Internet Security 8.0.0.454 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
02441996 Exploit/SWF.B Virus/Trojan No 0 Yes Yes c:\archivos de programa\hp\digital imaging\help\hp deskjet f2400 series\flash\sips_map_ny.swf
02441996 Exploit/SWF.B Virus/Trojan No 0 Yes Yes c:\archivos de programa\hp\digital imaging\help\hp deskjet f2400 series\flash\swp_select_print.swf
----------------------------


Los dos archivos que indica ya no existen en la ubicación indicada.
Supongo que ahora está limpio.

Sólo me quedaría borrar el autocompletado de la barra de direcciones de internet ya que cuando escribo la direccion de dos páginas mias me da la direccion de "mipagina.com Información del dominio.url" O sea, le agrega "información del dominio.url" y me envía a su página. He deshabilitado el autocompletar pero sigue habiendo muchas direcciones almacenadas.
Por lo demás parece que todo va bien. De todas formas le pasaré el kaspi online en cuanto consiga hacerlo.

Gracias
Vert

Hola,

Esos archivos, los eliminaste ¿?¿?.. (o los buscaste y no los encontraste).


»»
además de eliminar el auto completado, realiza este pasito:

Descarga :
IniRem By Infospyware.

Ejecuta :
IniRem 2.0.4
Pasos para utilizar IniRem 2.0.3[INDENT] .- Descargar IniRem 2.0.3.zip y descomprimir el archivo
»» Doble Clic en el archivo IniRem 2.0.3.exe
»» Ingresar la pagina de inicio que desee tener en el navegador Internet Explorer
»» Presionar el botón Desbloquear IE
»» Restaura el archivo de host.



Comenta como va todo, y si puedes hacer el scan con kas, aquí lo espero.


Saludos.

Hola Fer21021,
1 he eliminado el autocompletado
2 he pasado el inirem
3 no he pasado el kaspi online pq sigue sin estar disponible.
4 los archivos los he buscado y no exiten en el pc. Los debe haber eliminado el pana online alguna de las varias veces que lo pasé.

En principio parece que está todo bien. O por lo menos en estos días no he notado nada.
Seguiré pasando cada tanto el panda online hasta que este el kaspi disponible.
Muchisimas gracias por la ayuda.
Vert.

Hola,

Es raro, lo de kas, la versión inglesa si esta funcionando.

»
Puedes usar sino el eset, para tener otra opinión.

Descarga el ESET Smart Installer

ºGuardalo en la Pc.

º Lo ejecutas

º Marcas las casillas de Eliminar las amenazas detectadas y analizar archivos.

º Haces clic en Configuración adicional y ahi marcas las casillas:

Analizar en busca de aplicaciones potencialmente indeseables,
Analizar en busca de aplicaciones potencialmente peligrosas
Activar la tecnoligía Anti-Stealth.

º Pulsas en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.

Cuando acabe haz clic en Finalizar

º Localizar el reporte en C:\Archivos de programa\ESET\ESET Online Scanner\log

En tu próxima respuesta, pones el reporte generado.




Prueba la PC, y avisame si puedo dar el tema por solucionado.



Saludos.

Hola Fer21021,
Muchas gracias.
He terminado de pasar el ESET y está limpio.
Puedes cerrar el tema.
De nuevo muchas gracias.
Vert

Ganamos la batalla...

Me alegro que hayas solucionado los problemas de tu PC.


Cualquier cosita, vuelve a visitarnos.


Si necesitas reabrir el tema, pulsa sobre el icono o envía un mensaje privado a cualquier moderador (miembros staff) explicando las razones de esa reapertura.
Un saludo.

.