Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Parece ser que tengo un virus y me desactiva el antivirus (NOD32) y firewall de windows, he hecho una limpieza de archivos con ccleaner, el spyboot me ha detectado varios troyanos y lo ha eliminado, estoy pasando ESET online. En los servicios aparece el antivirus detenido,. Cuando pase el antivirus online ya comentare, mientras tanto si me aconsejáis alguna cosa. Por cierto también he notado que algunas veces se abren páginas solas en IE, en el Firefox de momento no.

Hola dartacan

Tráenos el reporte de Eset On Line , veremos que nos muestra y tomaremos medidas.

Saludos.

He pasado el kaspesky pero no he podido copiar el reporte por que se ha quedado bloqueado, si he visto que había detectado unos 26 virus. Ahora estoy pasando el NOD32 online a ver que tal, pero esto pinta mal.

Bueno esto es lo que me ha encontrado el NOD32 online:

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\DNSFlushcws1.zip Win32/Bagle.gen.zip gusano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinFraudLoadedt5.zip Win32/Bagle.gen.zip gusano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinFraudLoadedt6.zip Win32/Bagle.gen.zip gusano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Configuración local\Temp\~tmp\hiprof02\smsh.exe probablemente una variante de Win32/Agent Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Escritorio\IceCold_ReLoaded(www.Tuloc ura.Net).zip Win32/HackTool.Homac aplicación eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Escritorio\ESET Smart Security Standard 4.0.437 - 32bits\NodLogin10b.zip Win32/HackAV.CS aplicación eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\msn\Monaexecuted(2).rar múltiples amenazas eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\msn\MSN Kick.rar múltiples amenazas eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\msn\MSNKick.rar probablemente una variante de Win32/Hacktool.VB Troyano eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\msn\Msn_Snapshot_3.rar probablemente una variante de Win32/Hacktool.VB Troyano eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\PROGRAMAS\Nero-9.0.9.4b_trial.exe Win32/Toolbar.AskSBar aplicación eliminado - puesto en Cuarentena
C:\Documents and Settings\MOI\Mis documentos\Programas instalados\Adobe Acrobat 9 Pro Extended\Adobe Acrobat 9 Pro Extended (Ita-Esp-Por-Nl).iso probablemente una variante de Win32/Agent Troyano eliminado - puesto en Cuarentena
C:\WINDOWS\system32\j7gpqntvf8oq.exe probablemente una variante de Win32/Genetik Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\WINDOWS\system32\mona.006 Win32/KeyLogger.Ardamax aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\WINDOWS\system32\mona.007 Win32/KeyLogger.Ardamax aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena

El firewall conseguí activarlo, con un comando que vi en está página escribiéndolo en ejecutar.
A la espera de vuestras instrucciones.

Ahora acabo de pasar el kasperksy online y sólo me ha detectado un virus, pero era una herramienta de msn y la he eliminado, el antivirus sigo sin poder abrirlo, me dice que no se ha podido establecer la comunicación con el núcleo de ESET NOD32 Antivirus. También he observado que el icono de Mi PC ha desaparecido.

Bueno, me he dado cuenta de que realizando los 11 pasos para una buena eliminación, había pasado el Spy Bot y no el SuerAntiSpyware, pues lo he paso y el resultado ha sido:

Generated 11/02/2009 at 00:27 AM

Application Version : 4.29.1004

Core Rules Database Version : 4219
Trace Rules Database Version: 2122

Scan type : Quick Scan
Total Scan Time : 00:23:47

Memory items scanned : 260
Memory threats detected : 1
Registry items scanned : 499
Registry threats detected : 54
File items scanned : 5884
File threats detected : 6

Trojan.Agent/Gen-SpamBot
C:\WINDOWS\SYSTEM32\J7GPQNUVF88Q.DLL
C:\WINDOWS\SYSTEM32\J7GPQNUVF88Q.DLL

Trojan.Dropper/Win-NV
HKLM\System\ControlSet001\Services\tdidis32.sys
C:\WINDOWS\SYSTEM32\TDIDIS32.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_tdidis3 2.sys
HKLM\System\ControlSet003\Services\tdidis32.sys
HKLM\System\ControlSet003\Enum\Root\LEGACY_tdidis3 2.sys
HKLM\System\CurrentControlSet\Services\tdidis32.sy s
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_tdi dis32.sys

Adware.Tracking Cookie
C:\Documents and Settings\MOI\Cookies\moi@statcounter[1].txt
C:\Documents and Settings\MOI\Cookies\moi@atdmt[2].txt
C:\Documents and Settings\MOI\Datos de programa\Thinstall\Microsoft Office 2007\%Profile%\Cookies\moi@atdmt[3].txt

Trojan.Agent/Gen
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str132
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig15
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig4
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig5
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig20
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig25
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig30
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig31
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig36
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig21
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str14
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig10
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str6
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str8
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str9
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str13
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str1
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str5
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig7
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig8
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig6
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str16
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str19
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig18
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig17
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str22
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str25
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig24
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig23
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str130
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str28
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str31
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig29
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig27
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str131
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig35
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig37
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str35
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str38
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str34
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str15
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str128
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str129
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig3
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig13
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#dig19
HKU\S-1-5-21-1275210071-115176313-725345543-1003\SOFTWARE\XML#str0

Trojan.Agent/Gen-FakeAlert
C:\WINDOWS\SYSTEM32\OHAVGE.DLL

He reiniciado y ha vuelta a iniciar el NOD32, parece ser que todos los virus han desaparecido, entonces ¿ya estoy totalmente desinfectado o tendría que hacer alguna otra cosa?

Hola.

Busquemos una segunda opinión:

Realiza un "Examen Completo" con Panda Active Scan2 como lo indica su Manual

Me traes el reporte.

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\moi\cookies\moi@atdmt[2].txt
00366244 Application/NirCmd.A HackTools No 0 No No c:\documents and settings\moi\mis documentos\programas\flash disinfector.exe[c:\documents and settings\moi\mis documentos\programas\flash disinfector.exe][nircmd.exe]
00366244 Application/NirCmd.A HackTools No 0 Yes No c:\windows\system32\nircmd.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No c:\archivos de programa\emule\incoming\(2009 portable) active webcame 11.4 .zip[install.exe][install.exe][setup_00.exe][setup_00.exe][bitrollinstaller.exe]
03509749 Generic Trojan Virus/Trojan No 0 No No c:\archivos de programa\emule\incoming\(2009 portable) active webcame 11.4 .zip[install.exe][install.exe][install.exe]
03550499 Trj/IJacker.C Virus/Trojan No 1 No No c:\archivos de programa\emule\incoming\(2009 portable) active webcame 11.4 .zip[install.exe][install.exe][setup_00.exe]
04276078 Generic Trojan Virus/Trojan No 0 No No c:\documents and settings\moi\mis documentos\programas\winxp_simulator by juiicys.rar[winxp_simulator.exe][tutorial.exe]
04732180 Generic Trojan Virus/Trojan No 0 Yes No c:\documents and settings\moi\datos de programa\thinstall\diccionario de traducción español-inglés\10000004a00002h\winhlp32.exe

Hola

Realiza lo siguiente:
Descarga y guarda en tu escritorio:

• OTM by OldTimer .

• Haz doble clic sobre el icono OTM.exe para ejecutarlo
• Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
• Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". .

• Presiona el boton rojo MoveIt!
• Espera hasta cuando el resultado aparezca en el marco Results.
• Permite que se reinicie el equipo, esto es importante.
• Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log

Luego descarga y guarda en tu escritorio:

Flash_Disinfector

Paso .-2

Inicias en Modo Seguro. y ejecutas:

Flash_Disinfector:
Con los dispositivos USB desconectados ejecuta Flash_Disinfector, luego
conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecuta Fash_Disinfector nuevamente.

All processes killed
========== FILES ==========
c:\archivos de programa\emule\incoming\(2009 Portable) active Webcame 11.4 .zip moved successfully.
File/Folder c:\archivos de programa\emule\incoming\(2009 portable) active webcame 11.4 .zip not found.
File/Folder c:\documents and settings\moi\datos de programa\thinstall\diccionario de traduccion espa¤ol-ingl‚s\10000004a00002h\winhlp32.exe not found.
c:\documents and settings\moi\mis documentos\programas\winxp_simulator By JuiiCys.rar moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 134 bytes

User: LocalService
->Temp folder emptied: 228229 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 403043 bytes

User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: MOI
->Temp folder emptied: 173342488 bytes
File delete failed. C:\Documents and Settings\MOI\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 14908965 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 93421074 bytes

User: NetworkService
->Temp folder emptied: 101368 bytes
->Temporary Internet Files folder emptied: 619631 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\NV2736908.TMP folder deleted successfully.
%systemroot% .tmp files removed: 2187993 bytes
%systemroot%\System32 .tmp files removed: 3871581 bytes
Windows Temp folder emptied: 17092 bytes
RecycleBin emptied: 47652379 bytes

Total Files Cleaned = 321,19 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11042009_215450

Files moved on Reboot...

Registry entries deleted on Reboot...