Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas,

Es la primera vez que escribo a un foro y lo hago porque me gustaría evitar, en la medida de lo posible, tener que formatear mi actual portátil (Con Windows Vista).

Después de muchas horas navegando en diversas páginas y recopilando información, actualmente estoy haciendo el segundo análisis con Malwarebytes, esta vez en modo seguro, también estoy volviendo a examinar con SUPERAntiSpyware.
Mi problema es que me entró este Trojan antes de instalar Kaspersky, ahora Kaspersky hace cosas raras y no logra poner ni en cuarentena.

Tengo un primer informe de Malwarebytes, pero esperaría al segundo y se lo publicaría a quien me lo pidiera. Además, erróneamente, ejecuté el CCleaner (antes de llegar a este foro y ver el procedimiento) y creo que hice algo mal Tampoco encuentro la manera de desactivar la 'restauración de sistema' en WVista. Así que como verán soy un mar de dudas.

En materia de antivirus estoy en total desventaja (me refiero a cero conocimientos) pero me gustaría a toda costa proteger el material gráfico que tengo actualmente.

Gracias de antemano por la ayuda que alguien pueda brindar.

Saludos

Hola, cuando puedas pones los informes de Malwarebytes, los dos (2)

Y no te preocupes por haber ejecutado ccleaner antes de tiempo, no hace ningun daño

comentas como sigue el pc

Hola de nuevo,

Primero que nada, gracias por la pronta respuesta Anoche dejé trabajando los análisis y aquí el resultado:

Partimos de la premisa que el PC sigue funcionando en modo seguro y todo lo que encuentro en el escritorio es lo siguiente:

1.- Kaspersky advierte de la presencia de un Troyano: Trojan.Win32.Agent.cvyt y dice que "Se requiere un procedimiento de desinfección especial que obliga a reiniciar el sistema. Le recomendamos cerrar todas las otras aplicaciones." Después da 2 opciones: "Sí, aplicar" o "No, no aplicar". Las otras veces, (y sin estar en modo seguro) le daba SI, aplicar, pero después salía otro anuncio (no recuerdo si de otro elemento o del mismo) que avisaba de que había que eliminarlo pero al final no podía eliminarlo porque no podía acceder a un archivo del cuál no recuerdo el nombre y se quedaba colgado, finalmente el PC se ponía súper tonto y me era imposible acceder al Administrador de Archivos para finalizar los procesos. Por eso ahora no sé qué hacer.

2.- SUPERAntiSpyware Profesional (Trial Version) después de 'Buscar software perjudicial' dice que no encontró ningún software perjudicial

3.- Malwarebytes' Anti-Malware (también trial), después del examen completo encontró 11 objetos infectados. Aquí el resultado del reporte:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3027
Windows 6.0.6001 Service Pack 1 (Safe Mode)

25/10/2009 10:08:01
mbam-log-2009-10-25 (10-07-54).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 303112
Tiempo transcurrido: 2 hour(s), 15 minute(s), 19 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 7

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\ddnsfilter (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SfX (Rootkit.Agent) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Program Files\DDnsFilter (Trojan.DNSChanger) -> No action taken.

Ficheros Infectados:
C:\Users\Caro\AppData\Local\Temp\zazodin_125633969 9.exe (Worm.Koobface) -> No action taken.
C:\Windows\bk23567.dat (KoobFace.Trace) -> No action taken.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> No action taken.
C:\Windows\0535251103110107106.yux (KoobFace.Trace) -> No action taken.
C:\Windows\0101120101465050.xe (KoobFace.Trace) -> No action taken.
C:\Windows\0101120101465154.xe (KoobFace.Trace) -> No action taken.
C:\Windows\mmsmark2.dat (KoobFace.Trace) -> No action taken.


También tengo el primer reporte que hice el día anterior, pero no sé si podría servir de algo.

Como cada vez hago algo con las opciones de kaspersky sucede que se cuelga y tengo que apagar a la fuerza, voy a conectarme desde mi notebook hasta la próxima respuesta y voy a dejar este tal cuál está.

Espero sus indicaciones en cuanto tengan oportunidad.

Muchas Gracias!!!

Hola:

Veo esto en ese informe>>> No action taken.<<< quiere decir que no enviastes los objetos a cuarentena, tienes que dar el la opcion quitar lo seleccionado cuando acaba el scan, entrar en su pestaña registro y pegar ese informe.


Le dejo unos Pasos a seguir, OK


Por favor sigue estos pasos.

• Si utilizas Spybot Search & Destroy desactivas el Tea Timer
• Para tu comodidad te recomiendo imprimir los pasos.
• Si algún paso no lo puedes realizar te lo saltas y sigues con el siguiente.
• Si tiene dudas con las herramientas, lea sus manuales manuales.

Paso1º

• Descarga e instala CCleaner su manual
  
• Descarga, instala y actualizas Malwarebytes’ Anti-Malware su manual
• Descarga, no necesita instalación, ni actualización Dr.Web CureIt su manual

Paso 2º

• Inicias tu pc en Modo Seguro.
• Ejecuta las herramientas de una en una y en este orden:

Dr. Web Cure-IT

• La herramienta primero realiza un chequeo express
• Después escojes escaneo completo eliminas lo que encuentre o curas lo que encuentre.
• Terminado el escaneo. Ir a Archivo >> Grabar lista de Informes... guardas el Informe

Malwarebytes' Anti-Malware

• Realizas un scan completo.
• Dar en la opción quitar lo seleccionado.
• Su Informe se encuentra en la pestaña registro.

Ccleaner

• Ejecutala en sus dos opciones limpiador y registro.
• Haciendo copia del registro cuando te lo pida.

Paso 3º

• Reinicias el PC a modo normal
• Realizas un scan con un antivirus online Pruebas con Kaspersky o con Panda ActiveScan 2.0

__________________

En tu proximo mensaje. Comente como sigue el PC y traiga los siguiente informes:

• Malwarebytes' Anti-Malware
• Dr. Web Cure-IT
• Antivirus Online

Salu2

Hola Suerte,

Gracias de nuevo.
Escribo desde el HP infectado para poder copiar los informes correspondientes. Sólo que tengo ciertas dudas.

Después de Quitar lo seleccionado en Malwarebytes, tengo el nuevo informe, pero para continuar tengo que dar el ok y dice que después es necesario reiniciar. Así que tendría que volver a iniciar el modo seguro y eso no sé cómo hacerlo (lo siento, soy una total ignorante ). La última vez inicié en modo seguro porque había tenido que apagar 'obligatoriamente' el PC para que dejara de hacer tonterías y al arrancar de nuevo me ofrecía esa opción.

Aquí el informe:
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3027
Windows 6.0.6001 Service Pack 1 (Safe Mode)

25/10/2009 12:31:32
mbam-log-2009-10-25 (12-31-32).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 303112
Tiempo transcurrido: 2 hour(s), 15 minute(s), 19 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 7

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SfX (Rootkit.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Program Files\DDnsFilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Users\Caro\AppData\Local\Temp\zazodin_125633969 9.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0535251103110107106.yux (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0101120101465050.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0101120101465154.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\mmsmark2.dat (KoobFace.Trace) -> Quarantined and deleted successfully.


Sigo teniendo la ventana de Kaspersky que dice que: "Se requiere un procedimiento de desinfección especial que obliga a reiniciar el sistema. Le recomendamos cerrar todas las otras aplicaciones." La opción sí, procede a desinfectar y luego tiene que reiniciar y la opcón que no, dice que el objeto será procesado de acuerdo con la acción seleccionada. (¿?) No sé qué hacer.

Sigo teniendo mi notebook aparte para trabajar separadamente de esta laptop, así que allí puedo leer los pasos que tengo que seguir (por suerte).

Entonces, tengo pendiente dos decisiones: mandar a reiniciar con malware e ignorar kaspersky o dar ok a kaspersky, y cómo se inicia en modo seguro.

Después de esto podré descargarme el Dr.Web Cure - IT y podré volver a efectuar el Cclearner.

Un saludo y gracias

Exacto, tienes que reiniciar si te lo pide malwarebytes.

Es bien facil, vuelves hacer lo mismo que hicistes para entrar la primera vez en Modo Seguro
No utilizo KAS, pero parece que si das en si tomara accion sobre el malware y si das en no tomara ninguna accion.


Bien en Malwarebytes puedes decirle que no quieres reiniciar ahora y cuando reinicias con Kaspersky, tendran efectos los dos en la desinfeccion, por lo menos eso tocaria. o realizas el reinicio po ti mismo manualmente


Me parece bien, crucemos los dedos y que todo salga bien, esta algo infectada esa PC

saludos

Hola Suerte,

Aquí vamos de nuevo.
1.-Reinicié con Malware (no con kaspersky) por ir leyendo muy rápido, pero ningún problema. Mandó a cuarentena todo lo que se encontró, aquí el informe:
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3027
Windows 6.0.6001 Service Pack 1 (Safe Mode)

25/10/2009 12:31:32
mbam-log-2009-10-25 (12-31-32).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 303112
Tiempo transcurrido: 2 hour(s), 15 minute(s), 19 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 7

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SfX (Rootkit.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Program Files\DDnsFilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Users\Caro\AppData\Local\Temp\zazodin_125633969 9.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0535251103110107106.yux (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0101120101465050.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0101120101465154.xe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\mmsmark2.dat (KoobFace.Trace) -> Quarantined and deleted successfully.


2-Después reinicié en modo seguro y descargué Dr.Web Cureit, pero no encontró nada.

3.-Volví a hacer un escáner con Malware y volvió a encontrar cosas, así que volví a hacer lo mismo que la vez anterior, aquí el informe:
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3027
Windows 6.0.6001 Service Pack 1 (Safe Mode)

25/10/2009 14:53:31
mbam-log-2009-10-25 (14-53-31).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 302976
Tiempo transcurrido: 1 hour(s), 3 minute(s), 25 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Windows\System32\drivers\Filter.sys (Rootkit.DNCBlocker) -> Quarantined and deleted successfully.

4.-Ejecuté el Ccleaner y después reinicié en modo normal.

Cuando me disponía a hacer el análisis on line con kaspersky me dijo que tenía que hacerlo como 'administrador' (que acaso no soy ya administradora...seguro que es slang de IT porque no me entero de nada) y allí se quedó tonto, sin moverse, sin dejarme hacer nada. Tuve que reiniciar y nuevamente estoy en modo seguro.

No sé si interfiere que ya tengo Kaspersky Internet security en el ordenador, pero según yo estaba desactivado. Inicio de nuevo y me aseguro que no está activado antes de ejecutar el antivirus online?

Un saludo y gracias de nuevo, aquí sigo...

Realizastes un escaneo completo?¿?¿

Prueba a realizarlo en modo seguro con funciones de red y si es posible lo haces con panda activescan


Saludos coméntanos

Hola de nuevo Suerte,


Descubrí el informe de Dr.Web Cureit. Pero el resumen es larguísimo (no sé como adjuntarlo aquí), si hago copy-paste será un archivo gigantesco. No hay otra manera?

Luego, inicié de nuevo en modo seguro e hice el escáner, con Kaspersky, pero no el online, el que tengo instalado - internet security. También tengo el informe pero es larguísimo también.

Ahora inicié en modo normal y lo único que sucede es que va a vuelta de rueda, es decir, lentísimo, sobre todo para abrir Firefox, funciona como si tuviera abierto photoshop, illustrator, y diez pestañas con imágenes al mismo tiempo.

Ahora podria intentar de hacer el panda active scan, porque ayer lo hice en modo seguro pero como no me había registrado no pude guardar el informe

En fin, si no hay otra opción te pego todos los informes aquí.

Un saludo,
R

Si ese que encontrastes debe de pesar muchisimo, si puedes debe tener una parte donde sale lo que elimino, eso es lo que debes copiar y pegar.

Este lo mismo, si tiene una parte donde ponga lo que elimino o lo que no lo pones y si no lo dejas

Eso es extraño, ya que a un que no te registes si encuentra infecciones, da un informe.

Pruebalo registrandote, haber que sucede


tambien traes comentarios de como sigue el pc