Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola otra vez equipo de InfoSpyware, antes ya han solucionado algunos problemas que he tenido y acudo una vez mas a uds para ver si me pueden echar una mano...

Mi problema es este:

Tal parece que un virus llamado Autorun.Gen se incrusto en mi memoria USB (al introducirla en otra maquina que no es mia), este virus lo que hacia siempre era ocultarme las carpetas que tenia, y crear un ejecutable de ellas (estas ultimas si eran visibles). Mi antivirus es el NOD32 3.0.710.0 y lo unico que hace es que cada vez que meto la memoria me dice que hay un virus INF/Autorun.gen

Hasta hace unos 3 dias ese era el unico problema, pero ahora aunque no conecte la memoria me manda el mensaje de que tengo el mismo virus en mi computadora (es el: Win32/FlyStudio.NVN Troyano) y no puede eliminarlo, ademas de eso se me abre una ventana en chino cada 20 o 30 minitos.

La vdd ya estoy desesperado, y me harian un gran favor si me pudieran ayudar a solucionar este problema. He visto que varios usuarios han colocados problemas parecidos a este pero la mayoria son muy ESPECIFICOS para cada maquina y no he podido solucionar mi problema .

Muchas gracias de antemano y estamos en contacto.

Hola buffon Diaz


Eso son los malditos virus de pendrive .


Vamos a ver si lo quitamos y se queda tu ordenador y pendrive inmunizado después.

Hola otra vez y gracias por la respuesta tan pronta....

Lo que paso fue lo siguiente:

Intente seguir los pasos en orden pero al parecer tenia lagun tipo de malware tambien que no me permitia iniciar en modo seguro, asi que pase a los otros puntos y aqui estan los reportes (ya que en el mensaje decia que si no podia realizar algun punto pasara al siguiente):


Aqui el del MALWAREBYTE'S Anti-Malware:



Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3002
Windows 5.1.2600 Service Pack 3

21/10/2009 10:26:36
mbam-log-2009-10-21 (10-26-36).txt

Tipo de examen : Examen Completo (C:\|F:\|H:\|)
Objetos examinados: 322747
Tiempo transcurrido: 54 minute(s), 51 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
F:\WINDOWS\system32\143D78\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.



Y aqui el del Kapersky:


--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, October 21, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Wednesday, October 21, 2009 17:34:20
Records in database: 3041883
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
K:\

Scan statistics:
Objects scanned: 210268
Threats found: 4
Infected objects found: 10
Suspicious objects found: 0
Scan duration: 01:55:46


File name / Threat / Threats count
F:\WINDOWS\system32\110374\C2A96C.EXE//PE-Crypt.CF//script.fly/F:\WINDOWS\system32\110374\C2A96C.EXE//PE-Crypt.CF//script.fly Infected: Trojan-Dropper.Win32.Flystud.yo 1
F:\WINDOWS\system32\143D78\W7-36864.EXE//PE-Crypt.CF//script.fly/F:\WINDOWS\system32\143D78\W7-36864.EXE//PE-Crypt.CF//script.fly Infected: not-a-virus:AdWare.Win32.FlyStudio.l 1
F:\Documents and Settings\Administrador\Escritorio\DShutdown\DShutd own.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.h 1
F:\WINDOWS\system32\110374\C2A96C.EXE Infected: Trojan-Dropper.Win32.Flystud.yo 1
F:\WINDOWS\system32\143D78\W7-36864.EXE Infected: not-a-virus:AdWare.Win32.FlyStudio.l 1
F:\WINDOWS\system32\143D78\WTEEBY7.EXE Infected: not-a-virus:AdWare.Win32.FlyStudio.l 1
F:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1
K:\Recycle.exe Infected: Trojan-Dropper.Win32.Flystud.yo 1
K:\MAS.exe Infected: Trojan-Dropper.Win32.Flystud.yo 1
K:\autorun.inf.exe Infected: Trojan-Dropper.Win32.Flystud.yo 1

Selected area has been scanned.



Despues de todo esto, me encontre aqui en infospyware la solucion al problema del Modo Seguro y gracias a mi SuperAntiSpyware logre poder correr en modo seguro y corri una vez mas el AntiMalware:

Aqui el reporte en modo seguro:


Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3002
Windows 5.1.2600 Service Pack 3 (Safe Mode)

21/10/2009 17:32:54
mbam-log-2009-10-21 (17-32-54).txt

Tipo de examen : Examen Completo (C:\|F:\|H:\|)
Objetos examinados: 322300
Tiempo transcurrido: 1 hour(s), 7 minute(s), 47 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


Creo que eso es todo. Me preocuparon los 10 objetos infectados que encontro el kapersky.... ahora que hago???

Gracias una vez mas de antemano.

El problema del inicio del ordenador en modo seguro probablemente fue la entrada esta eliminada con el Malwarebytes::


Me alegra que hayas conseguido repetir pasos en modo seguro .


Vamos a por las infecciones de Kaspersky .




Descarga OTM

• Haz un doble clic sobre OTM.exe para ejecutarlo.
  
• Asegurate que este marcado : Unregister Dll's and Ocx's
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTM nombrado: Paste Instructions for items to be Moved

• Haz clic en MoveIt! Para lanzar la supresión.
  
• Cuando el resultado aparece en el marco Results, se abrirá un aviso preguntando si deseamos reiniciar el PC: Pulsar sobre "YES"
  
• NOTA: En caso de que no aparezca el aviso de reiniciar. Reinicie manualmente su pc. ya que es importante reiniciar para eliminar las infecciones
  
• En tu proximo mensaje pones el reporte de OTM. Se encuentra en C: \ _ OTM\MovedFiles\********_******.txt
  

Esperamos el reporte.

Muchas gracias otra vez.... aqui anexo el reporte del OTM:

All processes killed
========== FILES ==========
F:\WINDOWS\system32\110374\C2A96C.EXE moved successfully.
F:\WINDOWS\system32\143D78\W7-36864.EXE moved successfully.
File/Folder F:\WINDOWS\system32\143D78\WTEEBY7.EXE not found.
K:\Recycle.exe moved successfully.
K:\MAS.exe moved successfully.
K:\autorun.inf.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 0 bytes
File delete failed. F:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 2064151 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39866965 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. F:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 101760058 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 137,10 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10212009_182537

Files moved on Reboot...

Registry entries deleted on Reboot...


Que sigue ahora??....

Parece que se ha escapado uno


Lo primero eliminar OTM:::



Los iconos de esos programas se quedarán y los puedes mandar a la papelera de reciclaje.




Tienes que asegurar ahora esta ruta y que no exista este archivo::


En rojo he marcado el que tienes que buscar y eliminar.


Pude ser que tengas que ir a cualquier carpeta; en la pestaña superior pinchas en Herramientas> Opciones de Carpeta> Ver> Mostrar Carpetas De Sistema y Ocultas. La tildas Aplicas y Aceptas.


Eso te va a permetir ver las cosas escondidas en el ordenador. Comprueba si está el archivo en rojo. Si lo encuentra lo borras y vacías la papelera de reciclaje.


Si no lo encuentras; vuelve a ocultar los archivos de sistema y ocultos; y si encuentras el archivo y no lo puedes eliminar lo comentas.



Esperando comentarios

Hola otra vez...

te comento que ya hice lo del OTM, pero no encuentro el archivo que me dices busque.... ya busque en todos los archivos ocultos y no aparece.....

Muchas gracias por toda tu ayuda... sigo en espera de instrucciones

Bueno pues parece que ya está todo en orden.


Comenta si sigues experimentando el problema del principio del post

Ok muchas gracias por todo....

estara testeando mi maquina estos dias siguientes y en un par de dias yo te comento como sigue...

Muchas gracias otra vez por todo tu tiempo.....

Dejo este tema pendiente de tu confirmación para cerrarlo adecuadamente .


Por favor vuelve cuando te acuerdes para confirmar si va todo bien y lo cerramos .


Un saludo y suerte estos días