Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola amigos, como podran suponer, tengo un nuevo problema.

tengo dos makinas. en una el antivirus mcafee me muestra un letrero de que un programa intenta conectarse a internet. tal programa no lo reconosco, le doy bloquear y reaparece. le pase malwerebites y despues kaspersky los cuales detectarion una amenaza. me parece que malwerbites no fuciono, ya que ke en tal caso kaspersky no hubiese detectado nada. pego los reportes para que puedan ayudarme. estos son los de la makina que considero menos fregada, ya despues veremos a la otra, supongo, gracias de antemano


Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2895
Windows 5.1.2600 Service Pack 2 (Safe Mode)

19/10/2009 02:34:49 p.m.
mbam-log-2009-10-19 (14-34-49).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 109479
Tiempo transcurrido: 20 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\System Volume Information\_restore{7CE3F14A-1109-476F-8CCC-F141B638EA36}\RP29\A0010244.exe (Trojan.Agent) -> Quarantined and deleted successfully.






--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, October 19, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, October 19, 2009 21:05:40
Records in database: 3035531
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\

Scan statistics:
Objects scanned: 22927
Threats found: 2
Infected objects found: 4
Suspicious objects found: 0
Scan duration: 01:14:24


File name / Threat / Threats count
C:\WINDOWS\systems.exe/C:\WINDOWS\systems.exe Infected: Trojan.Win32.Buzus.cilz 1
C:\Documents and Settings\spider 3\Configuración local\Temp\eraseme_24444.exe Infected: Trojan.Win32.Buzus.cilz 1
C:\Documents and Settings\spider 3\secupdat.dat Infected: Backdoor.Win32.Agent.aknz 1
C:\WINDOWS\systems.exe Infected: Trojan.Win32.Buzus.cilz 1

Selected area has been scanned.

Hola

Te recomiendo que hagas lo siguiente:

1.- Apaga restaurar sistema.

* Descarga OTM by OldTimer en el escritorio.
o Haz doble clic sobre el icono OTM.exe para ejecutarlo
o Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
o Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").

*
o Presiona el boton rojo MoveIt!
o Espera hasta cuando el resultado aparezca en el marco Results.
o Permite que se reinicie el equipo, esto es importante.
o Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log


En la proxima respuesta:
Pega el reporte de OTM.

2.-Descarga los siguientes programas pero no los ejecutes aún:
CCleaner
SUPERAntispyware.


3.- Actualiza SUPERAntispyware y has un escaneo completo y elimina lo que te detecte. Guarda su reporte y pégalo en tu siguiente post.

4.- Realiza una limpieza de archivos con CCleaner y despues una limpieza del registro (guarda una copia de seguridad)

5.- Reactiva restaurar sistema

6.- Realiza un escaneo con Panda ActiveScan 2.0 y pega aquí su reporte.

Saludos y coméntanos como sigue tu pc después de éso.

perdon por la tardanza:

este es el reporte otm:


All processes killed
========== FILES ==========
C:\Documents and Settings\spider 3\Configuración local\Temp\eraseme_24444.exe moved successfully.
C:\Documents and Settings\spider 3\secupdat.dat moved successfully.
C:\WINDOWS\systems.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: spider 3
->Temp folder emptied: 88515150 bytes
File delete failed. C:\Documents and Settings\spider 3\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 7665269 bytes
->Java cache emptied: 127985 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3241472 bytes
Windows Temp folder emptied: 183296 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 95.14 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10192009_170127

Files moved on Reboot...

Registry entries deleted on Reboot...



le pase el superantispy y me pidio reiniciar, no lo hice inmediatamente, porque quiero preguntarte si le paso el cc cleaner en modo a prueba de errores o no, ya que una vez anterior asi me dijeron que debia hacerlo. ojala no reiniciar imediatamente no sea perjudicial. gracias

este es el reporte del superantispy


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/19/2009 at 05:34 PM

Application Version : 4.29.1004

Core Rules Database Version : 4174
Trace Rules Database Version: 2093

Scan type : Complete Scan
Total Scan Time : 00:14:37

Memory items scanned : 462
Memory threats detected : 0
Registry items scanned : 4281
Registry threats detected : 0
File items scanned : 7684
File threats detected : 4

Adware.Tracking Cookie
C:\Documents and Settings\spider 3\Cookies\spider 3@atdmt[2].txt
C:\Documents and Settings\spider 3\Cookies\spider 3@doubleclick[1].txt

Trojan.Agent/Gen
C:\_OTM\MOVEDFILES\10192009_170127\DOCUMENTS AND SETTINGS\SPIDER 3\SECUPDAT.DAT

Trojan.WINSYSTEMS
C:\_OTM\MOVEDFILES\10192009_170127\WINDOWS\SYSTEMS .EXE

perdon por la tardanza:

este es el reporte otm:


All processes killed
========== FILES ==========
C:\Documents and Settings\spider 3\Configuración local\Temp\eraseme_24444.exe moved successfully.
C:\Documents and Settings\spider 3\secupdat.dat moved successfully.
C:\WINDOWS\systems.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: spider 3
->Temp folder emptied: 88515150 bytes
File delete failed. C:\Documents and Settings\spider 3\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 7665269 bytes
->Java cache emptied: 127985 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3241472 bytes
Windows Temp folder emptied: 183296 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 95.14 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10192009_170127

Files moved on Reboot...

Registry entries deleted on Reboot...



le pase el superantispy y me pidio reiniciar, no lo hice inmediatamente, porque quiero preguntarte si le paso el cc cleaner en modo a prueba de errores o no, ya que una vez anterior asi me dijeron que debia hacerlo. ojala no reiniciar imediatamente no sea perjudicial. gracias

este es el reporte del superantispy


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/19/2009 at 05:34 PM

Application Version : 4.29.1004

Core Rules Database Version : 4174
Trace Rules Database Version: 2093

Scan type : Complete Scan
Total Scan Time : 00:14:37

Memory items scanned : 462
Memory threats detected : 0
Registry items scanned : 4281
Registry threats detected : 0
File items scanned : 7684
File threats detected : 4

Adware.Tracking Cookie
C:\Documents and Settings\spider 3\Cookies\spider 3@atdmt[2].txt
C:\Documents and Settings\spider 3\Cookies\spider 3@doubleclick[1].txt

Trojan.Agent/Gen
C:\_OTM\MOVEDFILES\10192009_170127\DOCUMENTS AND SETTINGS\SPIDER 3\SECUPDAT.DAT

Trojan.WINSYSTEMS
C:\_OTM\MOVEDFILES\10192009_170127\WINDOWS\SYSTEMS .EXE

Hola realiza esto, para eliminar OTM.

»» Ejecuta OTM.exe
»» Asegúrate de estar conectado a Internet.
»» Presiona el botón CleanUp! .
»» Confirma el inicio del proceso de limpieza pulsando en "Yes" .
»» Aparecerá un listado de las herramientas usadas durante la desinfección.
»» OTM pedirá que reinicie el sistema, confírmelo pulsando en "Yes" .


Reinicia el PC y después pasa el CCleaner en modo normal.
Como último paso realiza un escaneo con Panda ActiveScan o con Kaspersky y me pegas el resultado. También dime si ha mejorado tu PC o sigue igual.

Saludos.

perdon por la tardanza

ya no me aparece ningun anuncio de macafee, esta mejor, pero el panda saco una amenaza te dejo el reporte


;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-10-19 20:28:02
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
McAfee VirusScan Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\spider 3\Cookies\spider 3@atdmt[2].txt
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194861 HIGH MS08-031
194860 HIGH MS08-030
191618 HIGH MS08-025
191617 HIGH MS08-024
191616 HIGH MS08-023
191614 HIGH MS08-021
191613 HIGH MS08-020
187735 HIGH MS08-010
187733 HIGH MS08-008
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182048 HIGH MS07-069
182046 HIGH MS07-067
179553 HIGH MS07-061
176383 HIGH MS07-058
176382 HIGH MS07-057
170911 HIGH MS07-050
170907 HIGH MS07-046
170906 HIGH MS07-045
170904 HIGH MS07-043
164915 HIGH MS07-035
164913 HIGH MS07-033
164911 HIGH MS07-031
160623 HIGH MS07-027
157262 HIGH MS07-022
157261 HIGH MS07-021
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150253 HIGH MS07-016
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
141033 MEDIUM MS06-075
141030 HIGH MS06-072
137571 HIGH MS06-070
137568 HIGH MS06-067
133387 MEDIUM MS06-065
133386 MEDIUM MS06-064
133385 MEDIUM MS06-063
133379 HIGH MS06-057
131654 HIGH MS06-055
129977 MEDIUM MS06-053
129976 MEDIUM MS06-052
126093 HIGH MS06-051
126092 MEDIUM MS06-050
126087 HIGH MS06-046
126086 MEDIUM MS06-045
126083 HIGH MS06-042
126082 HIGH MS06-041
126081 HIGH MS06-040
123421 HIGH MS06-036
123420 HIGH MS06-035
120825 MEDIUM MS06-032
120823 MEDIUM MS06-030
120818 HIGH MS06-025
120815 HIGH MS06-022
120814 HIGH MS06-021
117384 MEDIUM MS06-018
114666 HIGH MS06-015
114664 HIGH MS06-013
108744 MEDIUM MS06-008
108743 MEDIUM MS06-007
108742 MEDIUM MS06-006
104567 HIGH MS06-002
104237 HIGH MS06-001
96574 HIGH MS05-053
93395 HIGH MS05-051
93454 MEDIUM MS05-049
;================================================= ================================================== ================================================== ==============================

Hola,

No hay de que preocuparse, puedes borrar el archivo manualmente.
Podemos dar el tema por solucionado o tienes alguna otra duda?

Saludos.

gracias por tu ayuda

esta es la otra makina latosa:

te mando reporte kaspersky y malwerebites.

acabo de deconectar la restauracion de sistema

reportes:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2895
Windows 5.1.2600 Service Pack 2 (Safe Mode)

19/10/2009 02:29:59 p.m.
mbam-log-2009-10-19 (14-29-59).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 114994
Tiempo transcurrido: 21 minute(s), 43 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 3
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 5

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\svchost (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Documents and Settings\maki 1\Datos de programa\seres.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\maki 1\Datos de programa\svcst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\maki 1\Configuración local\Temp\BN82.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\maki 1\Configuración local\Temp\BN83.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\maki 1\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

de hecho este es el penultimo. enseguida de este ejecute otro y me salio limpio, pero en cuanto reinicie en modo normal, salieron de nuevo. entonces le pase el kaspersky y salio esto:



--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, October 19, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, October 19, 2009 21:05:40
Records in database: 3035531
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\

Scan statistics:
Objects scanned: 27708
Threats found: 4
Infected objects found: 9
Suspicious objects found: 0
Scan duration: 01:21:10


File name / Threat / Threats count
C:\Documents and Settings\maki 1\Configuración local\Temp\81.tmp Infected: Backdoor.Win32.Bredavi.ana 1
C:\Documents and Settings\maki 1\Configuración local\Temp\BN82.tmp Infected: Packed.Win32.Krap.ah 1
C:\Documents and Settings\maki 1\Configuración local\Temp\BN83.tmp Infected: Packed.Win32.Krap.ah 1
C:\Documents and Settings\maki 1\Configuración local\Temp\~TM8C.tmp Infected: Trojan.Win32.Inject.akpv 1
C:\Documents and Settings\maki 1\Datos de programa\seres.exe Infected: Packed.Win32.Krap.ah 1
C:\Documents and Settings\maki 1\Datos de programa\svcst.exe Infected: Packed.Win32.Krap.ah 1
C:\Documents and Settings\maki 1\restorer64_a.exe Infected: Trojan-Downloader.Win32.Mutant.fun 1
C:\WINDOWS\system32\cpcp.cpo Infected: Backdoor.Win32.Bredavi.ana 1
C:\WINDOWS\system32\restorer64_a.exe Infected: Trojan-Downloader.Win32.Mutant.fun 1

Selected area has been scanned.


gracias de antemano

Hola,

Realiza lo siguiente:

* Descarga OTM by OldTimer en el escritorio.
o Haz doble clic sobre el icono OTM.exe para ejecutarlo
o Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
o Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").

*
o Presiona el boton rojo MoveIt!
o Espera hasta cuando el resultado aparezca en el marco Results.
o Permite que se reinicie el equipo, esto es importante.
o Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log


En la proxima respuesta:
Pega el reporte de OTM.

2.- Usa CCleaner y realiza una limpieza de archivos y de registro (guardando una copia de seguridad)

3.- Después realiza un análisis con Malwarebytes, SUPERAntispyware y Kaspersky Online de nuevo y me traes los reportes.

Me cuentas que tal sigue esa PC.

Saludos.

kikesan:

aki esta el reporte del otm:


All processes killed
========== FILES ==========
C:\Documents and Settings\maki 1\Configuración local\Temp\81.tmp moved successfully.
C:\Documents and Settings\maki 1\Configuración local\Temp\BN82.tmp moved successfully.
C:\Documents and Settings\maki 1\Configuración local\Temp\BN83.tmp moved successfully.
C:\Documents and Settings\maki 1\Configuración local\Temp\~TM8C.tmp moved successfully.
C:\Documents and Settings\maki 1\Datos de programa\seres.exe moved successfully.
C:\Documents and Settings\maki 1\Datos de programa\svcst.exe moved successfully.
C:\Documents and Settings\maki 1\restorer64_a.exe moved successfully.
C:\WINDOWS\system32\cpcp.cpo moved successfully.
C:\WINDOWS\system32\restorer64_a.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: maki 1
->Temp folder emptied: 87138095 bytes
File delete failed. C:\Documents and Settings\maki 1\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 3103233 bytes
->Java cache emptied: 25616024 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 132096 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 110.65 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10192009_222154

Files moved on Reboot...

Registry entries deleted on Reboot...





enseguida le pasare el superantyspy, y despues elccclener y malwerebityes en modo seguro y te mando los reportes de cada uno ok?