Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola, mi antivirus avg me avisó esta semana sobre la existencia de varios troyanos en mi pc, pero no pudo limpiarlos.
Desde aquella el pc va lentísimo si me conecto a la red, y los navegadores (firefox y chrome) dan error continuamente.
Así mismo he intentado saber el nombre de los troyanos analizando online el pc con Kapersky y Panda, pero siempre aparecen problemas y nunca lo dan analizado.
Así que tengo que usar otro pc para navegar por internet mientras tanto.
¿Qué programas debo usar para eliminar los troyanos?
¿CCleaner y Malwarebytes?

Un saludo y gracias de antemano

Manuel debemos usar mas cosillas .


Por lo que describes puede que sea un virus bastante destructivo. Espero que no sea el caso.


Estos pasos. Lee bien por favor:



Espero que consigas volver con algún reporte. Si usas un PenDrive para trasladar los fichero a tu ordenador lo mencionado; no lo enchufes a otro ordenador hasta que te comente como limpiarlo

Hola, hice lo que se indica en la lista.
Pero no me iniciaba en modo seguro así que tuve que bajarme el safemode_repair.zip.
Dr Cure it encontró un Backdoor Maost Boot y Trojan.PWS.Panda 114,
El cccleaner más de 40MB de archivos temporales innecesarios y 46 dll mal.
Y el malwarebytes encontró 16 cosas para quitar, pero que no anoté porque guardé el informe.
Reinicié el pc y los reportes no aparecen por ningún lado. Los he buscado y nada de nada. Por eso explico arriba lo que encontró cada programa.
El Kapersky online todavía detecta más problemas, pero por lo menos ya me funciona:

Saturday, October 31, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, October 30, 2009 22:51:54
Records in database: 3106459


Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes

Scan area My Computer
C:\
D:\

Scan statistics
Objects scanned 165952
Threats found 1
Infected objects found 2
Suspicious objects found 0
Scan duration 08:26:27

File name Threat Threats count
C:\Documents and Settings\HelpAssistant\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1

C:\Documents and Settings\Mariluz\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1


Creo que algo se ha limpiado pero que todavía quedan cosas por ahí.
¿Qué opinas?

Gracias por la ayuda.
Un saludo.

Abre el programa Malwarebytes y verás que tiene una pestaña que se llama Registros.

Ahí está el reporte que hace falta.

Si no lo encuentras o aparece en el la frase No Action Taken --->>> Sin acción tomada, lo repites en modo normal o seguro.

Necesito revisar ese informe antes de continuar.


por favor comenta qué antivirus tienes en la próxima respuesta también

Hola, repetí de nuevo todo y volvieron a aparecer cosas.
Recuerda que tengo el antivirus AVG.

Pego a continuación los reportes:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3086
Windows 5.1.2600 Service Pack 3 (Safe Mode)

02/11/2009 20:40:35
mbam-log-2009-11-02 (20-40-35).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 299849
Tiempo transcurrido: 2 hour(s), 21 minute(s), 42 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\intel64.exe,) Good: (Userinit.exe) -> No action taken.

Carpetas Infectadas:
C:\WINDOWS\system32\terrapof32 (Backdoor.Bot) -> No action taken.

Ficheros Infectados:
C:\WINDOWS\system32\terrapof32\efwef23.gds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\terrapof32\g45hged.gdp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\HelpAssistant\Datos de programa\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Mariluz\Datos de programa\wiaserva.log (Malware.Trace) -> No action taken.


DRWEB:

Master Boot Record HDD1 BackDoor.MaosBoot Curado.
nvcpl.exe c:\windows\fonts Trojan.PWS.Panda.114 Eliminado.


KASPERSKY:

Scan statistics
Objects scanned 165995
Threats found 1
Infected objects found 2
Suspicious objects found 0
Scan duration 09:16:27

File name Threat Threats count
C:\Documents and Settings\HelpAssistant\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1

C:\Documents and Settings\Mariluz\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1

Selected area has been scanned.


PANDA:

Amenazas con desinfección (1)
Peligrosidad baja (1) Trj/CI.A Virus Latente Ocultar + Info
1. c:\system volume information\_restore{f4010de...ad-b3388f596597}\rp396\a0066767.exe

Amenazas con desinfección de pago (4)
Peligrosidad baja (4) Cookie/Xiti Cookie espía Latente Ocultar
Cookie/YieldMa... Cookie espía Latente Ocultar
Cookie/Weboram... Cookie espía Latente Ocultar
Cookie/Tradedo... Cookie espía Latente Ocultar

Sólo disponible en versión de pago.
Comprar - Soy cliente

Archivos sospechosos (0)

Vulnerabilidades (21)


Como puedes ver tras dos desinfecciones sigue habiendo troyanos y virus.
¿Habrá alguna solución?

Gracias por la respuesta

Si hay solución. Sólo que tienes ahí un Zoológico .


Repite el escaneo con Malwarebytes. Esta vez dale a Eliminar todo lo encontrado y pegas el nuevo reporte.

Sólamente eso hasta que vuelvas con el nuevo reporte

hola, malwarebytes dice que ya no hay nada:

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
(No se han detectado elementos maliciosos)

Pero Kaspersky dice que sigue infectado con lo de antes:

File name Threat Threats count
C:\Documents and Settings\HelpAssistant\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1

C:\Documents and Settings\Mariluz\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf Infected: Exploit.JS.Pdfka.ajc 1

Selected area has been scanned.

¿Crees que el zoológico sigue en el pc o ya está mejorando?


Gracias por la ayuda.
Un saludo.

Falta quitar lo que encontró Kaspersky; pero necesitaba que Malwarebytes quitara todo lo otro que estaba primero .


Ya de Zoológico hemos pasado a un par de bichos que están a punto de ser extinguidos .



Descarga OTM

Apagas Restaurar Sistema para el paso de OTM. Si no puedes apagar restaurar sistema continúa y lo comentas en la siguiente respuesta::

Apagar Restaurar Sistema

Ahora lo siguiente con OTM::

• Haz un doble clic sobre OTM.exe para ejecutarlo.
  
• Asegurate que este marcado : Unregister Dll's and Ocx's
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTM nombrado: Paste Instructions for items to be Moved

• Haz clic en MoveIt! Para lanzar la supresión.
  
• Cuando el resultado aparece en el marco Results, se abrirá un aviso preguntando si deseamos reiniciar el PC: Pulsar sobre "YES"
  
• NOTA: En caso de que no aparezca el aviso de reiniciar. Reinicie manualmente su pc. ya que es importante reiniciar para eliminar las infecciones
  
• En tu proximo mensaje pones el reporte de OTM. Se encuentra en C: \ _ OTM\MovedFiles\********_******.txt
  

Esperamos el reporte

Hola
no encontré C: \ _ OTM\MovedFiles\********_******.txt
pero aparece C: \ _ OTM\MovedFiles\11042009_202914.log
dice lo siguiente:

All processes killed
========== FILES ==========
C:\Documents and Settings\HelpAssistant\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf moved successfully.
File/Folder C:\Documents and Settings\Mariluz\Configuración local\Archivos temporales de Internet\Content.IE5\RDUUN0TR\trueSince[1].pdf not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: HelpAssistant
->Temp folder emptied: 261433924 bytes
->Temporary Internet Files folder emptied: 300097070 bytes
->Java cache emptied: 29825890 bytes
->FireFox cache emptied: 25595459 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: Mariluz
->Temp folder emptied: 872417026 bytes
->Temporary Internet Files folder emptied: 377748828 bytes
->Java cache emptied: 130796151 bytes
->FireFox cache emptied: 117493254 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134225 bytes
%systemroot%\System32 .tmp files removed: 2909 bytes
Windows Temp folder emptied: 955 bytes
RecycleBin emptied: 35273154 bytes

Total Files Cleaned = -2042,82 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11042009_202914


¿Analizo de nuevo el pc con Kaspersky para asegurarme que todo está bien?

Desde luego que el modo mas seguro de poder ver que no hay nada es volver a analizar con Kaspersky.


Continua con los puntos de restauración quitados. Al final los tenemos que activar.


Probablemente aparecerán esas dos infecciones pero con suerte en la cuarentena de OTM que ya quitaremos también