Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos, ¿Qué tal?

Es mi primer mensaje acá, y quisiera que me ayuden.

Vereís: tengo el window vista y como antivirus el McAffe.

Pues bien; resulta que se me ha metido un spware malicioso en mi ordenador, y no puedo quitarlo: siempre que pulso la referencia donde está dicho spware, me sale un mensaje diciéndome que "Localización Inexistente", y automáticamente el programa de McAffe me lo bloquea.

Lo que pretendo es quitar este spware de una vez para siempre de mi ordenador y que vuelva a funcionar correctamente. ¿Alguien que tenga el McAffe me puede ayudar?

El Software que me describe el McAffe es el siguiente:

Name: Backdoor.Win32.Agent.ich /Backdoor.Win32.Kbot.al/Virus.Win32.Gpcode.ak
Risk: High Risk (todos los spware maliciosos, llevan el Risk. ¿Qué significa?)
Description: This Trojan provides a remote malicious user with access to the victim machine. It is a Windows PE EXE file. It is 48640 bytes in size. It is packed using UPX. The unpacked file is approximately 360 KB in size.
Comentario Adicional: Windows Firewall has detected unauthorized activity, but unfortunately it cannot help you to romeve viruses, keyloggers and other spyware threats that steal your personal information from your computer.

¿Qué significa todo esto (el inglés no es mi fuerte? ¿Tiene solución?
¿Cómo se elimina?


No obstante, es algo curioso; porque creo que por culpa de que se me ha metido el virus en el ordenador; me ha bloqueado el "Window Defender" (ha argumentado diciendo que llevaba 366 días sin analizar el ordenador) que , es decir, donde estaba puesto el "Centro de Seguridad de mi ordenador", se ha DESACTIVADO TODO, es decir, el Window Security Center.

En el Window Security Center, me aparece un mensaje pequeño que me gustaría que me lo interpretarais y que me ayudaraís a entenderlo.

Sección "Malware protection"

Virus Protection-not found

"Antivirus Software helps you to protect your computer from harmful attacks via Internet and protects from hijacking and swpares, saves your Internet traffic and optimizes your PC. Resent research more than 50% of computer are virus infected. If you are already connected to the Internet, install antivirus software ASAP. ¿Tengo infectado el 50% de mi ordenador?

Esto es todo.

Estoy desesperado y necesito toda vuestra ayuda posible. ES URGENTE.

Pues yo estoy trabajando desde mi ordenador, y necesito el ordenador. Es IMPRESCINDIBLE PARA MI.

Necesito toda vuestra ayuda posible.

Un saludo.

Hola Dus.

No es que sepa ingles, pero existe Google Traductor

Riesgo

Traducido: Descripción: Este troyano proporciona un usuario malicioso remoto con acceso a la máquina víctima. Es un archivo de Windows PE EXE. Se trata de 48.640 bytes de tamaño. Está empaquetado utilizando UPX. El archivo descomprimido es de aproximadamente 360 KB de tamaño.
Comentario Adicional: Firewall de Windows ha detectado una actividad no autorizada, pero desgraciadamente no puede ayudar a romeve virus, keyloggers y otras amenazas de software espía que roban la información personal de su equipo.


Traducido: Sección "Protección contra malware"

Protección contra virus-que no se encuentra

"Software antivirus le ayuda a proteger su equipo contra ataques dañinos a través de Internet y protege de la piratería y swpares, salva su tráfico de Internet y optimiza tu PC. Resent más del 50% del equipo de investigación están infectados por virus. Si usted ya está conectado a Internet , instalar software antivirus antes posible.

Le quedo claro con la tradudcción


Vamos hacer unos pasos, para ver si su PC tiene algun tipo de Malware.


Por favor sigue estos pasos.

• Si utilizas Spybot Search & Destroy desactivas el Tea Timer
• Para tu comodidad te recomiendo imprimir los pasos.
• Si algún paso no lo puedes realizar te lo saltas y sigues con el siguiente.
• Leer los manuales.

Paso1º

• Descarga e instala CCleaner su manual
  
• Descarga, instala y actualizas Malwarebytes’ Anti-Malware su manual
  
• Descarga, instala y actualizas SUPERAntiSpyware su manual

Paso 2º

• Inicias tu pc en Modo Seguro.
• Ejecuta las herramientas de una en una y en este orden:

SUPERAntiSpyware

• Realizas un scan completo, eliminas lo que encuentre.
• Su reporte se encuentra >> pestaña estadística >> pestaña preferencias.

Malwarebytes' Anti-Malware

• Realizas un scan completo.
• Dar en la opción quitar lo seleccionado.
• Su reporte se encuentra en la pestaña registro.

Ccleaner

• Ejecutala en sus dos opciones limpiador y registro
• Haciendo copia del registro cuando te lo pida

Paso 3º

• Reinicias el PC a modo normal

• Realizas un scan con un antivirus online Pruebas con Kaspersky o con Panda ActiveScan 2.0

En tu proximo mensaje. Comente como sigue el PC y traiga los siguiente informes:

• Antivirus Online
• Malwarebytes' Anti-Malware
• SUPERAntiSpyware

Salu2

Ok: gracias "Suerte". Intentaré hacer todos los pasos que me has dicho.

De todas formas, tengo el McAffe.

Te quería hacer una pregunta. Según McAffe, el supuesto virus está localizado en mi carpeta C:\Users\Fernando\AppData\Local\Temp\Installer.exe .

Pero es que, cuando se abre automáticamente (o yo lo intento buscar desde mi explorador de Window) NO LO ENCUENTRO.

¿Sabes algo del porqué de esta cuestión?

De todas formas, el McAffe me dice que tengo este archivo.

Trojan:Win32/Alureon.gen

Información: http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=9292

¿Sabes cómo puedo quitarlo?

Esto es todo. Gracias por todo y espero tu respuesta.

Haré todos los pasos que me has dicho y te diré a ver qué tal.

Saludos.

Hola "Suerte", ¿Qué tal?

He realizado los 3 pasos que me dijiste sin éxito alguno.

Me sigue apareciendo el archivo Trojan:Win32/Alureon.gen.

¿Qué puedo hacer para resolver este caso? ¿Tendría que formatear mi ordenador?

Acá te dejo los 3 informes.

SUPERAntiSpyware

Scan type : Complete Scan
Total Scan Time : 00:42:37

Memory items scanned : 310
Memory threats detected : 0
Registry items scanned : 10123
Registry threats detected : 30
File items scanned : 33352
File threats detected : 24

Adware.Unclassified/WebPerform
HKLM\Software\Classes\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}#AppID
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\InprocServer32
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\InprocServer32#ThreadingModel
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\ProgID
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\Programmable
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\TypeLib
HKCR\CLSID\{AB692F9B-27FE-4511-8885-ED62BB45197B}\VersionIndependentProgID
HKCR\Web.Perform.1
HKCR\Web.Perform.1\CLSID
HKCR\Web.Perform
HKCR\Web.Perform\CLSID
HKCR\Web.Perform\CurVer
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}\1.0
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}\1.0\0
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}\1.0\0\win32
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}\1.0\FLAGS
HKCR\TypeLib\{B9FD8E0A-17E0-48DE-AB1D-70DDAA35D577}\1.0\HELPDIR
C:\WINDOWS\SYSTEM32\WEBPERFORM.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{AB692F9B-27FE-4511-8885-ED62BB45197B}
HKU\S-1-5-21-905194274-94653184-2199740333-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{AB692F9B-27FE-4511-8885-ED62BB45197B}
HKCR\Interface\{E498D54B-8307-483A-8CA0-55E4573DD63A}
HKCR\Interface\{E498D54B-8307-483A-8CA0-55E4573DD63A}\ProxyStubClsid
HKCR\Interface\{E498D54B-8307-483A-8CA0-55E4573DD63A}\ProxyStubClsid32
HKCR\Interface\{E498D54B-8307-483A-8CA0-55E4573DD63A}\TypeLib
HKCR\Interface\{E498D54B-8307-483A-8CA0-55E4573DD63A}\TypeLib#Version

Adware.Tracking Cookie
C:\Users\Fernando\AppData\Local\Temp\Cookies\ferna ndo@ad.yieldmanager[1].txt
C:\Users\Fernando\AppData\Local\Temp\Cookies\ferna ndo@content.yieldmanager[2].txt
C:\Users\Fernando\AppData\Local\Temp\Cookies\ferna ndo@doubleclick[1].txt
C:\Users\Fernando\AppData\Local\Temp\Cookies\ferna ndo@advertising[2].txt
C:\Users\Fernando\AppData\Local\Temp\Cookies\ferna ndo@content.yieldmanager[3].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@tradedoubler[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@fidelity.solution.weborama[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@statse.webtrendslive[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@serving-sys[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@novartis.solution.weborama[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@imrworldwide[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@weborama[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@aimfar.solution.weborama[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@doubleclick[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@adv.exbii[3].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@adv.exbii[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@ad.yieldmanager[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@ads.incubu[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@bs.serving-sys[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@content.yieldmanager[3].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@avgtechnologies.112.2o7[1].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@content.yieldmanager[2].txt
C:\Users\Fernando\AppData\Roaming\Microsoft\Window s\Cookies\Low\fernando@statcounter[1].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}

Trojan.DNSChanger-Codec
HKU\S-1-5-21-905194274-94653184-2199740333-1003\Software\fcn

Malwarebytes

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 8
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 2
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\bestshoppingtipsprogram.bestshop pingtipsprogram (Adware.PlayMP3z) -> No action taken.
HKEY_CLASSES_ROOT\bestshoppingtipsprogram.bestshop pingtipsprogram.1 (Adware.PlayMP3z) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{418d86be-7386-4f1a-83e0-53604adbda74} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4e3a97d3-9f15-4067-d0f9-241cc9cc9541} (Adware.PlayMP3z) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{4e3a97d3-9f15-4067-d0f9-241cc9cc9541} (Adware.PlayMP3z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Users\Fernando\AppData\Roaming\twain_32 (Trojan.Zbot) -> No action taken.
C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> No action taken.

Ficheros Infectados:
C:\Windows\System32\win80.exe (Trojan.Dropper) -> No action taken.
C:\Users\Fernando\AppData\Roaming\twain_32\local.d s (Trojan.Zbot) -> No action taken.
C:\Users\Fernando\AppData\Roaming\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\Users\Fernando\AppData\Roaming\Macromedia\Commo n\279fe02e1.dll (Hijack.Sound) -> No action taken.

Ccleaner

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Samsung\\Easy Display Manager\\SPA\\EasyDisplayMgr.xml"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1028\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1031\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1036\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1040\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1041\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1042\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1043\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1046\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\1053\\MSOLAP80.RLL"=dword:00002710

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
"C:\\Program Files\\Common Files\\System\\Ole Db\\Resources\\2052\\MSOLAP80.RLL"=dword:00002710

Esto es todo, amigo.

Espero que me puedas contestar lo antes posible y decirme algo al respecto.

Un saludo y muchas gracias.

Hasta pronto.

Hola, en el informe de malwarebytes. Le distes a la Opcion de quitar lo seleccionado?¿

Te falta realizar el scan con el antivirus online.


Si no puedes ver el archivo que muestra tu antivirus, debe de ser por que esta oculto dicho archivo.

Continua con los pasos que te di, que esto lleva su tiempo, si fuera tan fácil como borrar un archivo y listo, no estaríamos aquí tratando de ayudar y de aprender

saludos