Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

buen dia

llevo ratos intentando desintalar la barra fast browser search
ya la desintale y nada
le hice mil cosas pero vuelve y aparece

seguidamente el bendito recycle reaparece cada rato
no me lo podido sacar, me infectaba las memorias y fué
una odisea desactivar el autorun.inf de las usb
al fin lo logré pero el recycler estan e D:, luego psa a C:

y todo esto empezó desde que instale esta bendita barra
ya me ha infectado 3 pc´s y cualquier cantidad de usb.

muchos""··""!·$·$"%·$ los que se inventaron esa barra
y mas !"·!"··"$yo que la instalé.



agradezco que me echen una mano con este
problema

anjuan

Realiza estos pasos por favor:

Paso.- 1
Descarga y/o actualiza las siguientes herramientas pero no las ejecutes aun:

Malwarebytes. >> Manual

Ccleaner >> Manual

Flash_Disinfector

Paso .-2

Inicia en Modo Seguro.

Paso .-3
Ejecuta.

Flash_Disinfector:
Con los dispositivos USB desconectados ejecuta Flash_Disinfector, luego
conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecuta Fash_Disinfector nuevamente.

Malwarebytes.
En su opción de examen completo , dándole al finalizar en"Quitar todo lo encontrado"

Ccleaner.
Usando primero su opción "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción "Registro" para limpiar todo el Registro de Windows haciendo Copia de Seguridad.

Paso.-4

Reinicias tu pc en modo normal.

Realiza un con Panda Active Scan2 como lo indica su Manual

En tu próximo Post nos cuentas los resultados junto a los reportes generados por, MalwareByte's y Panda Online Scanner.

Saludos.

este es log con malware

alwarebytes' Anti-Malware 1.41
Database version: 3044
Windows 5.1.2600 Service Pack 3 (Safe Mode)

27/10/2009 21:57:33
mbam-log-2009-10-27 (21-57-33).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|H:\|I:\|)
Objects scanned: 303749
Time elapsed: 1 hour(s), 13 minute(s), 45 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\USUARIO\Configuración local\Temp\RarSFX0\archivos_instalacion\mxoneguard ian.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3AD0B3\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
D:\test\matavirus\Mata Virus Recycler 1.0 By Peruxxo.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\matavirus\Mata Virus Recycler 1.0 By Peruxxo.exe (Trojan.Agent) -> Quarantined and deleted successfully.


estoy en el scaneo online

muy bien ya eliminamos algunas infecciones , continua con los demás pasos

buen dia

aqui estan los logs de antimalware y scan online

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3043
Windows 5.1.2600 Service Pack 3 (Safe Mode)

28/10/2009 9:41:15
mbam-log-2009-10-28 (09-41-12).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 141828
Tiempo transcurrido: 8 minute(s), 28 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
D:\dj music\cursos multimedia\tocar bateria\crack\patch.exe (Malware.Packer) -> No action taken.
D:\dj music\cursos multimedia\tocar bateria\crack\patch.exe.BAK (Malware.Packer) -> No action taken.
D:\dj music\software\matavirus\Mata Virus Recycler 1.0 By Peruxxo.exe (Trojan.Agent) -> No action taken.



este es del escaneo en linea


;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-10-28 12:19:23
PROTECTIONS: 1
MALWARE: 15
SUSPECTS: 10
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
NOD32 Antivirus 4.0.314.0 No Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00101945 HackTool/Samdump HackTools No 0 No No d:\dj music\software\legalizar windows\validwinpir.exe[d:\dj music\software\legalizar windows\validwinpir.exe][pwdump2\samdump.dll]
00101946 HackTool/Samdump HackTools No 0 No No d:\dj music\software\legalizar windows\validwinpir.exe[d:\dj music\software\legalizar windows\validwinpir.exe][pwdump2\pwdump2.exe]
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@doubl eclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@atdmt[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@servi ng-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@bs.se rving-sys[1].txt
00321319 HackTool/RockXp4 HackTools No 1 No No d:\dj music\software\legalizar windows\validwinpir.exe[d:\dj music\software\legalizar windows\validwinpir.exe][rockxp4_.exe]
00322278 HackTool/RockXp4 HackTools No 1 Yes No d:\dj music\software\legalizar windows\validwinpir.exe
00366244 Application/NirCmd.A HackTools No 0 No No d:\dj music\software\matavirus\flash_disinfector.exe[d:\dj music\software\matavirus\flash_disinfector.exe][nircmd.exe]
01074029 Generic Backdoor Virus/Trojan No 0 No No d:\dj music\cursos multimedia\tocar bateria\crack.rar[crack\patch.exe]
01074029 Generic Backdoor Virus/Trojan No 0 Yes No d:\dj music\cursos multimedia\tocar bateria\crack\patch.exe.bak
01074029 Generic Backdoor Virus/Trojan No 0 Yes No d:\dj music\cursos multimedia\tocar bateria\crack\patch.exe
02916589 Application/PassRock HackTools No 0 Yes No d:\dj music\software\legalizar xp\kf151.zip[keyfinder.exe]
02916589 Application/PassRock HackTools No 0 Yes No d:\dj music\software\legalizar windows\keyfinder.exe
02916589 Application/PassRock HackTools No 0 Yes No d:\dj music\software\legalizar xp\keyfinder.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No c:\documents and settings\administrador\mis documentos\software\utilidades sala cedecspro\personalizar el escritorio\snagit_9.0_by_drestrepo.rar[patch\techsmith.snagit.v9.0.0.351.exe]
03074964 Trj/CI.A Virus/Trojan No 0 No No c:\documents and settings\administrador\mis documentos\respaldo memoria\mata virus\combofix.exe[32788r22fwjfw\exereg.exe]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp1\a0001010.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp1\a0001011.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No d:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp6\a0004252.exe
03478408 Bck/Wutau.B Virus/Trojan No 0 Yes No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp1\a0000016.exe
04347247 Generic Trojan Virus/Trojan No 0 Yes No c:\documents and settings\administrador\mis documentos\software\mas archivos\netsupport 9.50 new keygen.zip[keygen.exe]
04414667 Generic Trojan Virus/Trojan No 0 No No c:\documents and settings\administrador\mis documentos\software\mas archivos\total video converter.rar[total video converter\total_video_converter_v3[1].10\tvc patch psc.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
No c:\documents and settings\administrador\mis documentos\respaldo memoria\nod 32 y nod login\nodenabler v3.0\x86\old ne uninstaller x86.exe
No c:\documents and settings\administrador\mis documentos\respaldo memoria\nod 32 y nod login\nodenabler v3.0\x86\setupx86.exe
No c:\documents and settings\administrador\mis documentos\software\net support\netsupport school.exe[c:\documents and settings\administrador\mis documentos\software\net support\netsupport school.exe][pcihooks.dll]
No c:\documents and settings\administrador\mis documentos\software\utilidades sala cedecspro\juegos\nueva carpeta (2)\directx_9c_webupdater.exe
No c:\documents and settings\administrador\mis documentos\software\utilidades sala cedecspro\juegos\nueva carpeta (2)\winds_pro_12_ae.zip[directx_9c_webupdater.exe]
No c:\documents and settings\administrador\mis documentos\software\utilidades sala cedecspro\personalizar el escritorio\skin vista.exe
No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp4\a0001062.exe
No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp4\a0001066.exe
No c:\system volume information\_restore{b110ffc1-485a-4575-8ba4-3e67b9a7dabd}\rp5\a0002113.exe
No d:\dj music\software\matavirus\eliminar barra\toolbarsd.exe
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194861 HIGH MS08-031
191617 HIGH MS08-024
;================================================= ================================================== ================================================== ==============================

Realiza lo siguiente:

• Apaga restaurar sistema
• Reinicias.
• Activas restaurar sistema.

Descarga y guarda en tu escritorio:

• OTM by OldTimer .

• Haz doble clic sobre el icono OTM.exe para ejecutarlo
• Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
• Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". .

• Presiona el boton rojo MoveIt!
• Espera hasta cuando el resultado aparezca en el marco Results.
• Permite que se reinicie el equipo, esto es importante.
• Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

All processes killed
========== FILES ==========
c:\documents and settings\administrador\mis documentos\respaldo memoria\mata virus\ComboFix.exe moved successfully.
c:\documents and settings\administrador\mis documentos\software\mas archivos\NetSupport 9.50 NEW Keygen.zip moved successfully.
File/Folder c:\documents and settings\administrador\mis documentos\software\mas archivos\total video converter.rar[total video converter\total_video_converter_v3[1].10\tvc patch psc.exe not found.
c:\documents and settings\administrador\mis documentos\software\utilidades sala cedecspro\personalizar el escritorio\Snagit_9.0_by_drestrepo.rar moved successfully.
d:\dj music\cursos multimedia\tocar bateria\crack.rar moved successfully.
d:\dj music\cursos multimedia\tocar bateria\crack\patch.exe moved successfully.
d:\dj music\cursos multimedia\tocar bateria\crack\patch.exe.BAK moved successfully.
d:\dj music\software\legalizar windows\keyfinder.exe moved successfully.
d:\dj music\software\legalizar windows\ValidWinPir.exe moved successfully.
File/Folder d:\dj music\software\legalizar windows\validwinpir.exe not found.
d:\dj music\software\legalizar xp\keyfinder.exe moved successfully.
d:\dj music\software\legalizar xp\kf151.zip moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 13082842 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39693548 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 623812 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 50,96 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10282009_144114

Files moved on Reboot...

Registry entries deleted on Reboot...


todo sigue igual el recycler aparece de nuevo
y la fastidiosa barra aun sigue ahi

Elimina OTM así:

• Ejecuta OTM.exe

1. Asegurate de estar conectado a internet.
2. Presiona el botón CleanUp!
3. Confirma el inicio del proceso de limpieza pulsando en "Yes".
4. Aparecerá un listado de las herramientas usadas durante la desinfección.
5. OTMoveIt3 pedira que reinicie el sistema, confirmelo pulsando en "Yes".

Me comentas como esta funcionando tu sistema.

sigue igual el recycler en C: y D:
y la fastidiosa barra pegada en IE y Mozilla

Probaremos la siguiente herramienta.

Descarga:
Dr Web Cure-IT
*Manual* DR wEB.


Si usas Vista Al ejecutarla das clic derecho sobre su icono y ejecutar como administrador:

• Dr.Web: Al iniciar realizará un "scan express" , cuando termine selecciona hacer un "scan completo" y curas o eliminas lo que encuentre (antes de cerrar el programa debes ir a Archivo > Grabar lista de Informes para guardar el reporte, será en extensión .csv)

Me traes el reporte ok.