Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, necesitaba ayuda para eliminar un virus que se llama "convite" . Está en portugués. Lo abrí una vez, momento a partir del cual le manda continuamente mails a mi lista de contactos. En el foro vi que hay una solución propuesta para este tema. He estudiado todos los pasos que allí propone (de computación no sé naada!!!) . Hay un solo paso de los que proponen que no entiendo y es cómo hacer para pegar el reporte y dónde lo tengo que pegar.
Espero una pronta respuesta!! mis saludos
PD: Acá dejo la dirección exacta donde está la recomendación para eliminar el "convite" que intento seguir: http://www.forospyware.com/t204473.html

Hola malenamusic:


al Foro.

Consejos para antes de publicar un nuevo mensaje

Políticas del Foro de InfoSpyware

--------------------------------------------------

El post que mencionas ya es de un año atras.

Debes realizar lo siguiente:

Descarga instala y/o actualiza pero no ejecutes aún:

MsnCcleaner.

°Malwarebytes

°Ccleaner

Reinicias el Sistema en Modo Seguro.

Utilizas el programa MSNCleaner.exe.

* Descomprimir el archivo MSNCleaner.zip
* Ejecutar el archivo MSNCleaner.exe
* Hacer Clic en el botón Analizar, Si se detecta algún archivo nocivo, se activará el botón Eliminar
* Seleccionar las opciones "Eliminar archivos temporales" y "Restaurar el archivo Hosts"
* Hacer Clic en el botón Eliminar

Ejecutas Malwarebytes (no olvidar marcar Quitar lo Seleccionado)

Ejecutas Ccleaner.

* Usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.

* Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicias.

Realizas un análisis con Panda Active Scan >>> Manual y nos pegas el Reporte.

Cada herramienta te da un registro, por ejemplo la de Malwarebytes esta dentro del programa en su pestaña Registro la copias, después de terminar y la pegas en tu próximo post en este tema, dando clic a responder debajo de este post.

Lee los manuales que te deje para que sepas ejecutar los programas.

Del Ccleaner no debes pegar reporte.

Ve uno a uno y cualquier duda consultas.





Nos cuentas.

Salu2.

Hola:Dejo los reportes que obtuve hasta hora, voy a completar los pasos que siguen. (Estoy por ejecutar el CCleaner) quiero saber ¿el Ccleaner lo ejecuto en modo normal? ¿el malware guarda atomáticamente el reporte en la pestaña Registos o lo tengp que hacer yo?

saludos y gracias

REPORTE 1:

- Reporte MSNCleaner 1.7.5 by www.forospyware.com
- Reporte Creado: 30/10/2009 a las 13:43:39
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos
_________________________________________

Archivos detectados: 0
Archivos eliminados: 0
Archivos no eliminados: 0

<<<<<<< No se ha encontrado ningún archivo >>>>>>>

REPORTE 2:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3060
Windows 5.1.2600 Service Pack 2 (Safe Mode)

30/10/2009 14:52:22
mbam-log-2009-10-30 (14-52-22).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 141359
Tiempo transcurrido: 58 minute(s), 44 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 5
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 6

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{7d7ca417-cdf2-48fc-9f07-3649cb0f2a41} (Trojan.Bancos) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a2409935-ebd8-4ad1-a9c4-ab2738711978} (Trojan.Bancos) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dc5aa020-783e-4619-b0b6-233ed9a58fa9} (Trojan.Bancos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{dc5aa020-783e-4619-b0b6-233ed9a58fa9} (Trojan.Bancos) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\lsass (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\winlog (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\windows movie maker (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\application in system (Trojan.Banker) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\wintmp2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Logfile1.txt (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Snxmsh.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\jscrit.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FlashVideo.dll (Trojan.Bancos) -> Quarantined and deleted successfully.

Cuando ejecuté el MSNClearner.exe y puse "analizar" no me figuraban activas las opciones "Eliminar archivos temporales" y "Restaurar el archivo Hosts". demodo que no lo hice.
¿qué me pueden decir al respecto?

graciiass!!!

Hola malenamusic:

Continua con el análisis online de Panda.

Y vemos como seguir.


Salu2.

aquí va el reporte de panda.
pregunta:
¿Cuál es la denominacion del archivo del virus "convite"?


;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-10-30 23:43:01
PROTECTIONS: 0
MALWARE: 9
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@doubl eclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@atdmt[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\administrador\cookies\administrador@ad.yi eldmanager[2].txt
02880373 Generic Trojan Virus/Trojan No 0 Yes Yes c:\windows\system\sysconf.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes Yes c:\windows\system32\drivers\msbbbevf.sys
02890330 Hacktool/MailPassView.H HackTools No 1 Yes No c:\windows\system\outlok.exe
03009106 W32/Xor-encoded.A Virus No 0 Yes Yes c:\archivos de programa\eset\infected\dfc1bpda.nqf
03105180 Generic Malware Virus/Trojan No 0 Yes Yes c:\windows\system\nppagent.cpl
03309776 Generic Trojan Virus/Trojan No 0 Yes Yes c:\windows\system\cftmom.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
204670 HIGH MS09-001
203806 HIGH MS08-078
203505 HIGH MS08-071
196455 MEDIUM MS08-037
194862 HIGH MS08-032
191616 HIGH MS08-023
191614 HIGH MS08-021
191613 HIGH MS08-020
187733 HIGH MS08-008
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182046 HIGH MS07-067
179553 HIGH MS07-061
176383 HIGH MS07-058
170907 HIGH MS07-046
170904 HIGH MS07-043
157260 HIGH MS07-020
;================================================= ================================================== ================================================== ==============================

Hola malenamusic:

Panda a eliminado varias de las Infecciones.

Realiza lo siguiente:

• Descarga OTM by OldTimer en el escritorio.
  • Haz doble clic sobre el icono OTM.exe para ejecutarlo
  • Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
  • Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").
    
    
    Código:

    :files
    c:\windows\system\outlok.exe
    
    :commands
    [emptytemp]
    [Reboot]
    

  • Presiona el boton rojo MoveIt!
  • Espera hasta cuando el resultado aparezca en el marco Results.
  • Permite que se reinicie el equipo, esto es importante.
  • Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

Actualiza Malwarebytes y lo vuelves a correr en Modo Normal.



1º- Ejecuta Ccleaner.

* Usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.

* Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

2º- Realizas un análisis en linea con Kaspersky Online Versión Inglesa >> Manual. (No olvides "Salvar" el reporte.)




- Pegas el reporte de OTm, Malwarebytes y Kaspersky. en tu próxima respuesta.



Comentanos como sigue el PC.

Salu2.

hola ¿para qué tendría que hacer todo este procedimiento? y ¿cómo reconozco el archivo de convite?

saludos y gracias

Hola:

El procedimiento es para que elimines correctamente el bicho.

Es una infección que llega por correo electrónico.

E instala como lo muestra Malwarebytes Troyan Banker o Troyan Bancos, son roba claves.

Por eso es necesario eliminarlos, y realizar nuevamente escaneos para confirmar su eliminación.

Es tu decisión.


Salu2.