Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, tengo un problema con mi compu, ya tengo rato (3 dias) buscandole por todos lados y no encuentro que es lo que pasa, utilizo el antivirus avira antivir, y desde hace 3 dias, me manda un aviso de que se detecto un archivo sospechoso en c:\windows\temp\ el archivo es un tmp con nombre aleatorio y cada 5 minutos se crea uno nuevo, el antivirus lo detecta y me pregunta que deceo hacer y no importa que opcion marque siempre en 5 minutos aparece de nuevo, ya intente con varios spyware, antivirus en linea y el mismo avira y ya no encuantran nada

monitoware a Foro Spyware.


A continuación te voy a dejar una serie de pasos a seguir. Por favor tomate tu tiempo para leer los manuales y ten paciencia.
Para tu mayor comodida imprimi esta hoja.
Nota: si tenes dificultad para realizar algún paso lo salteas y seguís con el siguiente.


Paso 1° - Descarga instala y/o actualiza :

Cclener - Manual.
Malwarebytes' Anti-Malware - Manual.

Paso 2° - Reinicia en "Modo Seguro" (Si no puede iniciar en Modo Seguro, omite este paso).

Paso 3° -

Ejecuta Malwarebytes' Anti-Malware. Seleccionas su opción de hacer un "escaneo completo". Cuando termine presiona la opción "Quitar todo lo seleccionado".

Reinicia

Paso 4° - Ejecuta Ccleaner como lo indica su manual.

Paso 5° - Realiza un escan online con Kaspersky (Version Inglesa) si falla este con Panda Active Scan 2.0

En tu próxima respuesta subes los reportes de MALWAREBYTES y de el ESCAN ONLINE (fundamental leer manual para saber como pegarlos) y comentanos como funciona la pc.

Saludos.

Gracias por tu pronta respuesta, ya estoy en eso, cuando escribi la pregunta vi el link de los 11 pasos y eso estoy haciendo, en cuanto tenga los resultados los pongo

Ok. Esperamos. Recorda siempre traer los reportes de las herramientas utilizadas.

Saludos.

Bien, ya terminaron los programas su chamba y aqui pongo los reportes

Malwarebytes' Anti-Malware 1.41
Database version: 3101
Windows 6.0.6000 (Safe Mode)

05/11/2009 01:31:29 a.m.
mbam-log-2009-11-05 (01-31-28).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 175887
Time elapsed: 19 minute(s), 21 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

A este punto el antimalware no encontro nada, pues ya lo habia pasado antes de consultar con ustedes y entonces si encontro y los elimino.

Pongo el del Kaspersky

Thursday, November 5, 2009
Operating system: Microsoft Windows Vista Ultimate Edition, 32-bit (build 6000)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Thursday, November 05, 2009 06:21:37
Records in database: 3134773
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Objects scanned 71989
Threats found 2
Infected objects found 3
Suspicious objects found 0
Scan duration 01:11:30

File name Threat Threats count
C:\Windows\System32\tdlwsp.dll Infected: Packed.Win32.TDSS.z 1
C:\Windows\Temp\bint.tmp Infected: Trojan-Dropper.Win32.Boaxxe.c 1
C:\Windows\Temp\tlqi.VIR Infected: Trojan-Dropper.Win32.Boaxxe.c 1
Selected area has been scanned.

El dia de ayer, comenzo a aparecer otro aviso en el avira, que detenia ese dll que aparece en el reporte, mas este no es cada 5 minutos, parece que no tiene oreden, pero al menos con el paso de Kaspersky han desaparecido lo tmp.

Gracias, ya me diran si esto sigue o tiene que hacerse otro tema nuevo

Buenas.

Kaspersky no realiza desinfeccion, solo detecta para leugo nosotros las eliminemos.

1° - Abri MALWAREBYTES vas a la pestaña registros y nos pegas el resultado del primer Escaneo.

2° -

Descarga:

Descarga:

OTM by OldTimer (anteriormente OTMoveIt3) | InfoSpyware

• Asegurarse que esté marcado "Unregister Dll's and Ocx's".

• Copiar en el recuadro "Paste instruccions for items to be moved ". lo siguiente

• dar clic sobre el boton MoveIt!

• Espere hasta cuando el resultado aparezca en el marco Results. - Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias

• En su proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log (Donde sale "***_***" es la fecha y hora)

Nos pegas el resultado de OTM y del primer analisis de Malwarebytes.

Saludos

Este es el reporte de la primera vez que corrie el antimalware

Malwarebytes' Anti-Malware 1.41
Database version: 3101
Windows 6.0.6000

04/11/2009 05:46:28 p.m.
mbam-log-2009-11-04 (17-46-28).txt

Scan type: Quick Scan
Objects scanned: 95972
Time elapsed: 26 minute(s), 20 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

y este el del segundo programa

All processes killed
========== FILES ==========
File/Folder C:\Windows\System32\tdlwsp.dll not found.
C:\Windows\Temp\bint.tmp moved successfully.
C:\Windows\Temp\tlqi.VIR moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
File delete failed. C:\Users\Administrador\AppData\Local\Temp\nsg3AA1. tmp\nsisProcMgr_U.dll scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\CoreUnin stall.log scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\java_ins tall.log scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\java_ins tall_reg.log scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\java_ins tall_sp.log scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\jinstall .cfg scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\jusched. log scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\Uninstal l.txt scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\Uninstal lLockedSOSFiles.cmd scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\Uninstal lLockedSOSFiles.lnk scheduled to be deleted on reboot.
File delete failed. C:\Users\Administrador\AppData\Local\Temp\_iu14D2N .tmp scheduled to be deleted on reboot.
->Temp folder emptied: 1224826 bytes

->Java cache emptied: 13689500 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gela
->Temp folder emptied: 89014778 bytes
->Temporary Internet Files folder emptied: 1744634 bytes
->Java cache emptied: 127985 bytes
->FireFox cache emptied: 45132095 bytes

User: Pixel

User: Public

User: Raul

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\Windows\temp\fwtsqmfile00.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile01.sqm scheduled to be deleted on reboot.
Windows Temp folder emptied: 609682 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 153.45 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11052009_150653

Borre la parte de enmedio de el reporte de OTM que contenia todos los file delate failed, por que el post me decia que solo permite 75000 caracteres, si se necesita lo pongo en partes

Ok.

Seguimos por aqui

1° - Activa ver archivos ocultos

2°- Segui la siguiente ruta y busca el archivo que esta en rojo:

C:\Windows\System32\tdlwsp.dll

3°- Eliminalo en forma manual, si presenta resistencia lo eliminas con FileASSASSIN | InfoSpyware


Nos contas que tal fue. y si continuan la alertas de Avira.

Saludos

Busque el archivo, pero no se encuentra, creo que el antivirus lo borra cuando aparece el anuncio, debe ser otro programa el que lo crea y cuando lo crea es cuando aparece el anuncio del avira detectandolo y procede a eliminarlo

Continuan la alertas de Avira¿?