Ayuda Urgente - Posible VIRUS (Solucionado)

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
Ayuda Urgente - Posible VIRUS (Solucionado)

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Página 1 de 2

Enviar a:

Herramientas

post #1

28/10/09, 11:18:31

Diega14

Usuario

Registrado: oct 2009

Ubicación: CABA

Mensajes: 8

Ayuda Urgente - Posible VIRUS (Solucionado)

Hola,
estoy necesitando ayuda,
ya me avisaron dos amigos que tengo un troyano en mi maquina, ya que envia continuamente unos archivos para descargar.

Me podrian dar ayudar, ya que utilizo la maquina para trabajar y esto representa un serio problema.

Muchas gracias.

InfoSpyware

post #2

28/10/09, 11:22:05

Nilrac

Usuario

Registrado: ago 2009

Ubicación: Colombia

Mensajes: 2.038

Re: Ayuda Urgente - Posible VIRUS

Hola Que Tal.

Efectivamente se trata de infeccion.
Los archivos que se envian a tus amigos para descargar son por el MSN?

Realiza los siguientes pasos por favor.

Descarga, instala y ejecuta

Malwarebytes Anti-Malware - Descargar | InfoSpyware
Cita:
Actualizar antes de ejecutar

Quitas todo lo que encuentre

Pegas el reporte
Dr.Web CureIt! 5 | InfoSpyware

Cita:

Primero reliza un Scan Exprees
luego un Scan Completo
Elimina o cura todo lo que encuentre!!!
Panda Active Scan. Cualquier duda consulta su manual (en este link)
Cita:
Cuando halla terminado Panda Active Scan
Realizo a travez de Internet Explorer

Click en el boton de exportar a documento de texto

Pegas ese reporte en tu respuesta

post #3

28/10/09, 23:01:57

Diega14

Usuario

Registrado: oct 2009

Ubicación: CABA

Mensajes: 8

Re: Ayuda Urgente - Posible VIRUS

Ante todo, muchas gracias por la atención, la rapidez y la claridad de la información.

Te comento:

1) primer paso realizado, adjunto reporte del Malwarebytes' Anti-Malware 1.41:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3050
Windows 5.1.2600 Service Pack 3

28/10/2009 11:50:24 p.m.
mbam-log-2009-10-28 (23-50-24).txt

Tipo de examen : Examen Completo (A:\|C:\|D:\|E:\|)
Objetos examinados: 168330
Tiempo transcurrido: 52 minute(s), 11 second(s)

Procesos en Memoria Infectados: 1
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Voy al segundo paso....

Hasta luego.

Gracias nuevamente.

post #4

29/10/09, 11:29:16

Nilrac

Usuario

Registrado: ago 2009

Ubicación: Colombia

Mensajes: 2.038

Re: Ayuda Urgente - Posible VIRUS

Vamos por buen camino

.
Aquí esperaremos

post #5

29/10/09, 18:42:17

Diega14

Usuario

Registrado: oct 2009

Ubicación: CABA

Mensajes: 8

Re: Ayuda Urgente - Posible VIRUS

hola super amigo!!!

2do. paso completo: DR. WEB SCANNER

Detecto:

Objeto:A0000838.exe/data006 - Ruta:C:/System Volume Information/_restore - Estado: ToolCloseApp

Luego repite en la fila de Abajo:

Objeto: A0000838.exe/data006 - Ruta:C:/System Volume Information/_restore - Estado: Archivo comprimido contiene objetos infectados - Acción: Movido.

Aclaración:
No me permite curar, ni eliminar, ni hacer nada con este objeto.

Si te parece, y sigue todo ok, sigo con el paso Nro. 3?

Saludos.

post #6

29/10/09, 19:08:59

Nilrac

Usuario

Registrado: ago 2009

Ubicación: Colombia

Mensajes: 2.038

Re: Ayuda Urgente - Posible VIRUS

Adelante

post #7

29/10/09, 20:44:58

Diega14

Usuario

Registrado: oct 2009

Ubicación: CABA

Mensajes: 8

Re: Ayuda Urgente - Posible VIRUS

Amigazo, paso 3 concluido.-

Reporte ActiveScan 2.0:

Código:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-10-29 21:39:39
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AVG Anti-Virus Free                          8.5                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\documents and settings\administrador\cookies\administrador@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\documents and settings\administrador\cookies\administrador@atdmt[1].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\documents and settings\administrador\configuración local\temp\cookies\administrador@statcounter[1].txt
00535589  Application/CloseApp               HackTools           No        0         Yes            No           c:\documents and settings\administrador\doctorweb\quarantine\vimc.exe
00535589  Application/CloseApp               HackTools           No        0         Yes            No           c:\documents and settings\administrador\doctorweb\quarantine\a0000838.exe
00970650  W32/Harakit.D.worm                 Virus/Worm          No        0         Yes            Yes          c:\windows\system32\autorun.in
00970650  W32/Harakit.D.worm                 Virus/Worm          No        0         Yes            Yes          c:\windows\system32\autorun.i
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
214076    HIGH           MS09-059
971486    HIGH           MS09-058
214074    HIGH           MS09-057
214073    HIGH           MS09-056
214072    HIGH           MS09-055
214071    HIGH           MS09-054
213109    HIGH           MS09-046
212494    HIGH           MS09-042
212493    HIGH           MS09-041
212490    HIGH           MS09-038
;===================================================================================================================================================================================

Espero tus indicaciones.

Saludos.

post #8

29/10/09, 22:35:57

Nilrac

Usuario

Registrado: ago 2009

Ubicación: Colombia

Mensajes: 2.038

Re: Ayuda Urgente - Posible VIRUS

Cita:

Amigazo, paso 3 concluido.-

Wow

que eficiencia

Descarga

OTM

Asegurarse que esté marcado "Unregister Dll's and Ocx's".
Copiar en el recuadro "Paste instruccions for items to be moved ". lo siguiente

Código:

:files
c:\documents and settings\administrador\cookies\*.*
c:\documents and settings\administrador\configuración local\temp\cookies\*.*
c:\documents and settings\administrador\doctorweb
c:\windows\system32\autorun.in
c:\windows\system32\autorun.i

:commands
[emptytemp]
[purity]
[Reboot]

Dar clic sobre el boton MoveIt!
Espera hasta cuando el resultado aparezca en el marco Results. - Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias
En tu proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log (Los *** son reemplazados por la fecha)

post #9

31/10/09, 11:07:20

Diega14

Usuario

Registrado: oct 2009

Ubicación: CABA

Mensajes: 8

Re: Ayuda Urgente - Posible VIRUS

Querido Nilrac,

4to. Paso:

Código:

All processes killed
========== FILES ==========
c:\documents and settings\administrador\cookies\administrador@atdmt[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@c.live[2].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@c.msn[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@dellinc.tt.omtrdc[2].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@dell[2].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@doubleclick[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@es.msn[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@fileratings[2].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@forospyware[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@infospyware[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@live[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@login.live[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@metrixlablw.customers.luna[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@msnportal.112.2o7[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@msn[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@nspmotion[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@rad.msn[2].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@www.forospyware[1].txt moved successfully.
c:\documents and settings\administrador\cookies\administrador@www.infospyware[2].txt moved successfully.
c:\documents and settings\administrador\cookies\desktop.ini moved successfully.
c:\documents and settings\administrador\cookies\index.dat moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@86400[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@abmr[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@ads.us.e-planning[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@ads2.weblogssl[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@adservingml[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@answers.yahoo[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@applehoy[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@content.yieldmanager[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@content.yieldmanager[3].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@ds-us2.clickexperts[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@fayerwayer[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@fileratings[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@flickr[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@foro.noticias3d[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@google.com[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@google.com[3].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@hits.e[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@imrworldwide[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@inkilino[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@mercadolibre.com[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@mlapps[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@oas.adservingml[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@puromac[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@quantserve[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@sharethis[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@speedbit[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@statcounter[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@teloanuncio[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@theinquirer[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@tvazteca[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@wd.sharethis[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@wordpress[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@wunderloop[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@www.fayerwayer[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@xataka[2].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@yahoo[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\administrador@youtube[1].txt moved successfully.
c:\documents and settings\administrador\configuración local\temp\cookies\index.dat moved successfully.
c:\documents and settings\administrador\DoctorWeb\Quarantine moved successfully.
c:\documents and settings\administrador\DoctorWeb moved successfully.
File/Folder c:\windows\system32\autorun.in not found.
File/Folder c:\windows\system32\autorun.i not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrador
->Temp folder emptied: 41424833 bytes
->Temporary Internet Files folder emptied: 19010823 bytes
->Java cache emptied: 221927 bytes
->FireFox cache emptied: 4210823 bytes
->Google Chrome cache emptied: 6083120 bytes
->Apple Safari cache emptied: 27882112 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2135197 bytes
%systemroot%\System32 .tmp files removed: 2909 bytes
Windows Temp folder emptied: 2488178 bytes
RecycleBin emptied: 408064 bytes
 
Total Files Cleaned = 99,12 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 10312009_115517

Files moved on Reboot...

Registry entries deleted on Reboot...

Espero indicaciones.

Un abrazo.

post #10

31/10/09, 13:38:33

Nilrac

Usuario

Registrado: ago 2009

Ubicación: Colombia

Mensajes: 2.038

Re: Ayuda Urgente - Posible VIRUS

Hola

Vuelve a realizar la operacion con OTM.

Asegurarse que esté marcado "Unregister Dll's and Ocx's".
Copiar en el recuadro "Paste instruccions for items to be moved ". lo siguiente

Código:

:processes
explorer.exe

:files
c:\windows\system32\autorun.inf

:commands
[emptytemp]
[start explorer]
[purity]
[Reboot]

Dar clic sobre el boton MoveIt!
Espera hasta cuando el resultado aparezca en el marco Results. - Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias
En tu proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log (Los *** son reemplazados por la fecha)

Página 1 de 2

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
No puedo cambiar mi pagina de inicio en IExplorer	rodri17	Foro de Virus y Spywares	22	30/08/09 19:45:44
Mi Disco duro esta lleno y no veo donde	andres1985	Foro de Virus y Spywares	10	29/07/09 14:08:09
Re: virus en el sistema	chester_00	Foro de Virus y Spywares	19	21/05/09 01:42:12
Virus New WIN32 y New Poly Win32	j2pac	Foro de Virus y Spywares	12	08/05/09 14:52:44
Este es el virus que hizo formatear el pc	michelon	Foro de Virus y Spywares	41	29/12/08 11:46:20

Todas las horas son GMT -4. La hora es 18:38:40.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus