Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Holas! soy nuevo en el foro así que disculparán si hay alguna falta, gracias.

Tengo un problemón con mi PC-Windows XP sp3 - Nod32 3.0.650, desde que un amigo me pasó información por una memoria usb. Empezó borrando los iconos de acceso directo en la barra de inicio rápido, luego los puede restaurar, pero era raro. Después la conección a internet está fallando en programas como el windows live, el messenger y poco en los navegadores, pues uso con más frecuencia el firefox.

Me comentó mi amigo que es un gusano que se contagió por un correo, pero no sé cuál es?. He pasado varias herramientas y recomendaciones que leí en el foro pero siguen los problemas.

1. AVG Anti-Spyware 7.5-Manual
2. SpyBot Search & Destroy -Manual
3. Ccleaner-Manual
4. RegSeeker -Manual
5. VirtumundoBeGone
6. vundo fix

Lo último que he hecho y me ha permitido la máquina es pasarle el panda online, y acá el reporte:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-11-05 09:09:45
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 22
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 Antivirus 3.0 3.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_afj_keygen.exe
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_jnf_keygen.exe
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_ejb_keygen.exe
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_8bk_keygen.exe
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_1.5_keygen.exe
01895148 Malicious Packer SecRisk No 0 Yes No j:\audio\vsti & dxi\bfd 2\bfd keygens\ngen_bfd_xfl_keygen.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\audio\edit\sony vegas movie studio platinum 9.0b build 96\patch nope\sony.vegas.movie.studio.platinum.professional .pack.v9.0.0.92b-nope.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\audio\los mejores pianos virtuales\synthogy ivory grand piano - vsti rtas (10 dvd)\ivory updates\ivory updates-how to install\01_synthogy ivory v1.52 + keygen\synthogy ivory v1.5 keygen.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\archivos bajados\sonido\plugins\freealphainstaller.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\audio\los mejores pianos virtuales\synthogy ivory grand piano - vsti rtas (10 dvd)\synthogy ivory 1.5 key generator.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\audio\vsti & dxi\softwaretechnologyvaz2010v20\paradox\keygen.ex e
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\audio\vst & dx fx\mlyn102plgnd\keygen.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes j:\nuevas descargas\rs nov2007\autoplay\docs\rapidshare direct download\setup\dldsetup.exe
04507813 Spyware/Virtumonde Spyware No 1 No No j:\audio\max con jitter\jitter 1.5.1\jitter 1.5.1 installer.msi[unk_0043][_759b5b6feda248fe8fdc7b378551f95a]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
No j:\audio\edit\protools.m-powered.v7.4\all digidesign pro tools plugins rtas\protools plugins\2_arturia - minimoog v 1.0 vsti dxi rtas - h2o\setup.exe
No j:\audio\max con jitter\si hay problemas\registry booster v2.0.1041.3208\crack\ubvarrb.dll
No j:\audio\tools\fmjsoftawavestudiov94\setup.exe
No j:\audio\tools\midiox7\midioxse.exe
No j:\audio\vsti & dxi\bitshiftaudiophatmatikprovstiv11build214\keyge n.exe
No j:\audio\vsti & dxi\softwaretechnologyvazmodularv303\vazmod303.exe
No j:\audio\vsti & dxi\softwaretechnologyvazmodularv303\vazmod303.exe[vazmod.exe]
No j:\audio\vsti & dxi\wavemachine.labs.drumagog.platinum.vst.rtas.v4 .10.[todosonido.blogspot.com]\keygen.exe
No j:\audio\vsti & dxi\drumagog 4.02\keygen.exe
No j:\audio\vsti & dxi\big fish audio celtic instruments (gig)\tascam.gigastudio.v3.21.2390\keygen.exe
No j:\audio\vst & dx fx\amplitube 2.1\keygen.exe
No j:\audio\tascam.gigastudio.v3.21.2390.incl.keygen-air\keygen.exe
No j:\audio\vst & dx fx\nomadfactory blue tubes analog trackbox vst.rtas.v1.2-air[sonidofull.com.ar]\setup.exe
No j:\audio\frettedsynthaudio\amplifier simulators\chimp.zip[chimp.exe]
No j:\archivos bajados\juegos bajados\installblasterball2remix.exe
No j:\nuevas descargas\rs nov2007\autoplay\docs\cms rsfan 1.0.rar[cms rsfan 1.0\rsfan.exe]
No j:\nuevas descargas\rs nov2007\autoplay\docs\easy rapidshare points v3.0.rar[easy rapidshare points v3.0\easy.rapidshare.points.v3.0 +serial number\install.exe]
No j:\nuevas descargas\rs nov2007\autoplay\docs\grabber 1.4.2a shine update 3.rar[grabber 1.4.2a shine update 3\grabber.exe]
No j:\nuevas descargas\rs nov2007\autoplay\docs\megaupload folder extracter.rar[megaupload_folder_extract.exe]
No j:\nuevas descargas\para descargar de rapidshare\usd\sborka_blackmanos_13_41.exe[antycaptcha\anticaptcha.exe]
No j:\nuevas descargas\para descargar de rapidshare\usd\sborka_blackmanos_13_41.exe[plugins\fileflyer.plg]
No j:\nuevas descargas\autocad 2008\keygen\autocad-2008-keygen.exe
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
194862 HIGH MS08-032
;================================================= ================================================== ================================================== ==============================


Quedo a la espera de su valiosísima ayuda pues trabajo produciendo música y esta es mi plataforma fundamental.
Muchas Gracias!!!

Hola Antimal, bienvenido/a al foro de InfoSpyware

Cita:

Politicas del foro Consejos antes de escribir un nuevo mensaje

Vas a tener que empezar a controlar el tema de las descargas, en especial de cracks y keygens.

Realiza los siguientes pasos:

Descarga OTM en el escritorio.

* Hace un doble clic sobre OTM.exe para ejecutarlo.
* Asegurate que este marcado : Unregister Dll's and Ocx's
* Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTM nombrado: Paste Instructions for items to be Moved



* Haz clic en MoveIt! Para lanzar la supresión.
* Cuando el resultado aparece en el marco Results, se abrirá un aviso preguntando si deseamos reiniciar el PC: Pulsar sobre "YES"
* NOTA: En caso de que no aparezca el aviso de reiniciar. Reinicie manualmente su pc. ya que es importante reiniciar para eliminar las infecciones
* En tu proximo mensaje pones el reporte de OTM. Se encuentra en C: \ _ OTM\MovedFiles\********_******.txt

Descarga Malwarebytes´AntiMalware (leer manual) y lo ejecutas en su opción de examen completo, y dándole al finalizar "Quitar todo lo encontrado" y guardas el reporte para ponerlo aqui con tu proximo mensaje.


En tu proxima respuesta:
El reporte de OTM
El reporte de MBAM
y tus comentarios de como sigue tu PC.

Salu2

Hola JackBauer!, muchas gracias por tu pronta respuesta

He seguido los pasos minuciosamente y te comento que el MBAM no lo pude descargar desde el link que me enviaste, pero lo bajé por otro lado y aparentemente funcionó.

Es verdad que hace un tiempo me puse a bajar muchos programas, pero hoy no es así, son archivos antiguos, y a decir verdad no me han dado problemas, más si el contacto con el usb de mi amigo.

Después de reiniciar al terminar todos los procesos observo que mi PC está mucho mejor quisiera saber cuál fué el problema? y si voy a poder conectar mi memoria usb otra vez. He visto muchas vulnerabilidades con el panda se puede proteger más?

Aquí los reportes de OTM y MBAM:

All processes killed
========== FILES ==========
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_AFJ_KeyGen.exe moved successfully.
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_JNF_KeyGen.exe moved successfully.
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_EJB_KeyGen.exe moved successfully.
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_8BK_KeyGen.exe moved successfully.
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_1.5_KeyGen.exe moved successfully.
j:\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_XFL_KeyGen.exe moved successfully.
File/Folder j:\audio\edit\sony vegas movie studio platinum 9.0b build 96\patch nope\sony.vegas.movie.studio.platinum.professional .pack.v9.0.0.92b-nope.exe not found.
Error: Unable to interpret <:\audio\los mejores pianos virtuales\synthogy ivory grand piano - vsti rtas (10 dvd)\ivory updates\ivory updates-how to install\01_synthogy ivory v1.52 + keygen\synthogy ivory v1.5 keygen.exe> in the current context!
Error: Unable to interpret <j:\archivos bajados\sonido\plugins\freealphainstaller.exe> in the current context!
Error: Unable to interpret <j:\audio\los mejores pianos virtuales\synthogy ivory grand piano - vsti rtas (10 dvd)\synthogy ivory 1.5 key generator.exe> in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\softwaretechnologyvaz2010v20\paradox\keygen.ex e> in the current context!
Error: Unable to interpret <j:\audio\vst & dx fx\mlyn102plgnd\keygen.exe> in the current context!
Error: Unable to interpret <j:\nuevas descargas\rs nov2007\autoplay\docs\rapidshare direct download\setup\dldsetup.exe> in the current context!
Error: Unable to interpret <j:\audio\max con jitter\jitter 1.5.1\jitter 1.5.1 installer.msi> in the current context!
Error: Unable to interpret <j:\audio\edit\protools.m-powered.v7.4\all digidesign pro tools plugins rtas\protools plugins\2_arturia - minimoog v 1.0 vsti dxi rtas - h2o\setup.exe> in the current context!
Error: Unable to interpret <j:\audio\max con jitter\si hay problemas\registry booster v2.0.1041.3208\crack\ubvarrb.dll> in the current context!
Error: Unable to interpret <j:\audio\tools\fmjsoftawavestudiov94\setup.exe> in the current context!
Error: Unable to interpret <j:\audio\tools\midiox7\midioxse.exe> in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\bitshiftaudiophatmatikprovstiv11build214\keyge n.exe> in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\softwaretechnologyvazmodularv303\vazmod303.exe > in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\softwaretechnologyvazmodularv303\vazmod303.exe > in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\wavemachine.labs.drumagog.platinum.vst.rtas.v4 .10.[todosonido.blogspot.com]\keygen.exe> in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\drumagog 4.02\keygen.exe> in the current context!
Error: Unable to interpret <j:\audio\vsti & dxi\big fish audio celtic instruments (gig)\tascam.gigastudio.v3.21.2390\keygen.exe> in the current context!
Error: Unable to interpret <j:\audio\vst & dx fx\amplitube 2.1\keygen.exe> in the current context!
Error: Unable to interpret <j:\audio\tascam.gigastudio.v3.21.2390.incl.keyg en-air\keygen.exe> in the current context!
Error: Unable to interpret <j:\audio\vst & dx fx\nomadfactory blue tubes analog trackbox vst.rtas.v1.2-air[sonidofull.com.ar]\setup.exe> in the current context!
Error: Unable to interpret <j:\audio\frettedsynthaudio\amplifier simulators\chimp.zip> in the current context!
Error: Unable to interpret <j:\archivos bajados\juegos bajados\installblasterball2remix.exe> in the current context!
Error: Unable to interpret <j:\nuevas descargas\rs nov2007\autoplay\docs\cms rsfan 1.0.rar> in the current context!
Error: Unable to interpret <j:\nuevas descargas\rs nov2007\autoplay\docs\easy rapidshare points v3.0.rar> in the current context!
Error: Unable to interpret <j:\nuevas descargas\rs nov2007\autoplay\docs\grabber 1.4.2a shine update 3.rar> in the current context!
Error: Unable to interpret <j:\nuevas descargas\rs nov2007\autoplay\docs\megaupload folder extracter.rar> in the current context!
Error: Unable to interpret <j:\nuevas descargas\para descargar de rapidshare\usd\sborka_blackmanos_13_41.exe> in the current context!
Error: Unable to interpret <j:\nuevas descargas\para descargar de rapidshare\usd\sborka_blackmanos_13_41.exe> in the current context!
Error: Unable to interpret <j:\nuevas descargas\autocad 2008\keygen\autocad-2008-keygen.exe> in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Alvaro
->Temp folder emptied: 34166908 bytes
->Temporary Internet Files folder emptied: 5375530 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 104626558 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 8921252 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 110828471 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 176024 bytes

Total Files Cleaned = 251.91 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11052009_134902

Files moved on Reboot...

Registry entries deleted on Reboot...


MBAM:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 5.1.2600 Service Pack 3

05/11/2009 04:14:36 p.m.
mbam-log-2009-11-05 (16-14-22).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|J:\|)
Objetos examinados: 424894
Tiempo transcurrido: 54 minute(s), 24 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 21

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{699bb593-b339-4939-aa8f-b166d72b1faf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\msqpdxserv.sys (Trojan.Agent) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{699bb593-b339-4939-aa8f-b166d72b1faf} (Trojan.Vundo) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Archivos de programa\Arturia\Arp2600 V\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\Bias\Bias\BIAS SoundSoap 2\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\PSP\PSP Nitro\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\iZotope\Ozone 3\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\KORG\KORG Legacy DIGITAL\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\PSP VintageWarmer\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\Cycling '74\MaxMSP 4.5\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Archivos de programa\Waves\DiamondUninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\WINDOWS\system32\msqpdxlamqqvdy.dll (Rootkit.TDSS) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_1.5_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_8BK_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_AFJ_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_EJB_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_JNF_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\_OTM\MovedFiles\11052009_134902\audio\vsti & dxi\bfd 2\bfd keygens\NGEN_BFD_XFL_KeyGen.exe (Worm.Brontok) -> No action taken.
E:\Archivos bajados\pa limpieza de PC\AVG Antispyware Portable\Port_AVG75-Lang.exe (Malware.Packer) -> No action taken.
F:\Librerías y samples de sonido\BFD 2 Library\FXPansion BFD JAZZ & FUNK 5DVD\FXPansion.BFD.Jazz.and.Funk.Expansion.Pack.DV DR.D1-DYNAMiCS\NGEN_BFD_JNF_KeyGen.exe (Worm.Brontok) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxkdibavym.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxqoiybwqt.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxxtafuyrv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxyabwesiq.sys (Trojan.Agent) -> No action taken.


Nuevamente gracias por todo y espero tus instrucciones para proseguir, seguiré observando mi máquina y tengo el MBAM instalado, aunque en un analisis rapido borro el mismo archivo ejecutable de su instalación?? ahhh, borro los archivos en cuarentena?

Saludos desde Lima, Perú

Hola Antimal, mientras llega el compañero JackBauer puedes repetir el analisis de malwarebytes para ir ganando tiempo si lo deseas.

si te fijas en su log veras que a la derecha de cada infeccion detectada dice " no action taken" osea ke no has eliminado las infecciones.

al acabar el analisis tienes que seleccionar la opcion "quitar todo lo seleccionado" tal y como te indicaron anteriormente.

salu2

Hola Antimal,

Dos puntos para que tener en cuenta y hagas:

Primero: Como mencionó bien eburre, debes seleccionar lo encontrado y luego seleccionar QUITAR LO SELECCIONADO. Escanea tu PC nuevamente y espero el nuevo reporte generado.

Segundo: Ejecuta nuevamente OTM tal cual lo indiqué con el siguiente código:
NOTA: Realizalo despacio y siguiendo las indicaciones de la ejecucion de OTM antes mencionadas.


Traeme ambos reportes con tu proxima respuesta y me comentas como sigue tu PC.
Salu2