Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Descarga

OTM

• Asegurarse que esté marcado "Unregister Dll's and Ocx's".
  
• Copiar en el recuadro "Paste instruccions for items to be moved ". lo siguiente

• Dar clic sobre el boton MoveIt!
  
• Espera hasta cuando el resultado aparezca en el marco Results. - Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulse sobre Yes para reiniciar.si no sale ese aviso lo reinicias
  
• En tu proximo mensaje envie reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log (Los *** son reemplazados por la fecha)

El problema sigue... al reiniciar el pc AVIRA sigue detectando el troyano.

Este es el log de OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
c:\documents and settings\jelopez\thunderbird\mail\local folders\Correo de Outlook moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Correo de Outlook.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Drafts moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Drafts.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Inbox moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Inbox.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Junk moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Junk.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\msgFilterRules.dat moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Sent moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Sent.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Templates.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Trash moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Trash.msf moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Unsent Messages moved successfully.
c:\documents and settings\jelopez\thunderbird\mail\local folders\Unsent Messages.msf moved successfully.
c:\system volume information\_restore{894ac383-32c7-4194-a489-906dfa2b07a2}\rp1\A0000061.sys moved successfully.
File/Folder d:\psp\sony media manager for psp multilanguage\sony psp media manager\crack\e-spmm10.exe not found.
c:\documents and settings\merisu\mis documentos\chorradas\chorradas\FOTOCONREYES.zip moved successfully.
d:\para grabar\kerio personal firewall 4.2.0.785 + patch.zip moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: jelopez
->Temp folder emptied: 112991018 bytes
->Temporary Internet Files folder emptied: 11444289 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 59259029 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: merisu
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Java cache emptied: 31538149 bytes

User: miguel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 155806 bytes
->Java cache emptied: 592485 bytes
->FireFox cache emptied: 47207260 bytes

User: NetworkService
->Temp folder emptied: 49152 bytes
File delete failed. C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: raul
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Java cache emptied: 298620 bytes
->FireFox cache emptied: 15205802 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1561700 bytes
%systemroot%\System32 .tmp files removed: 3590493 bytes
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_ed8.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_f60.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 344544 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 271,28 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11062009_193126

Files moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_ed8.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_f60.dat not found!

Registry entries deleted on Reboot...

He peridido todo el correo de ThunderBird!!!!!! Ha debido ser el OTM
Vaya faena de programa!!! Me acaba de hacer polvo

Esperame un segundo.
Estoy preparando los siguientes pasos !

Hola jelopez, bienvenido al foro de infospyware.

Antes que nada recordarte que Combofix no es un programa que debe ejecutarse sin supervisión ni a la ligera porque se corre el riesgo de dañar el sistema operativo o de no saber interpretar su reporte adecuadamente.

La versión especifica de Gmer para detectar si el MBR esta infectado muestra que el sector de arranque maestro esta libre de codigo virico.

La detección que esta dando Cf esta siendo estudiada para ver si se trata de un bug de la herramienta para realizar el reporte respectivo y hacer los correctivos del caso mientras tanto solo debe usarse bajo supervisión de un experto.

Para Nilrac

Por favor abstenerse de usar herramientas de eliminación como OTM si no estas seguro de lo que estas haciendo porque el switch que usaste en esta linea:

Elimino todos los archivos sin importar el tipo de extensión de archivo de la carpeta del thunderbird y eso fue innecesario porque los archivos infectados estaban claramente identificados en el reporte de Panda y eran pocos.


La carpeta a donde vamn los archivos eliminado en OTM es la siguiente:

C: \ _ OTM\MovedFiles

Por favor revisa si los archivos del thunderbird mientras realizo unas consultas porque esta versión de OTN no trae la opción de restaurar los archivos eliminados automáticamente como la anterior OTM2, en un rato tev dare una respuesta al respecto.

Y finalmente mencionas que el Avira te detecta una infección y seria bueno que pegues su reporte o nos des la ruta del archivo infectado para analizarlo.

Saludos.

Gracias GuillermoTell.

Respecto a ComboFix se que es arriesgado usarlo sin ser experto. Lo hice porque en alguna otra ocasión en otros PCs de amigos dio buen resultado. Supongo que serían troyanos más fáciles de eliminar.

Lo del Thunderbird: ha sido una pena pero los podré recuperar con un poco de paciencia. Muchos de ellos los tengo en gmail y otros los extraeré de la carpeta _OTM. Nilrac quizá no se fijó bien, pero bueno... me está echando una mano.

Para lo de Avira: la ruta que me da y fichero (son siempre los mismos cada vez que arranco) es:

------
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\jelopez\Configuración local\temp\e03535c28ec5473ca0938496f71798dc\http.d ll.
Action performed: Deny access
------

Gracias de nuevo por vuestra ayuda. A ver si conseguimos el objetivo pronto...

Un saludo

Me alegra que el problema de los mails tenga una solución sencilla en cuanto a ese troyano vamos a hacer esto:

Sube ese archivo

C:\Documents and Settings\jelopez\Configuración local\temp\e03535c28ec5473ca0938496f71798dc\http.dll.


A esta pagina: www.virustotal.com

Y realizas une scaneo del archivo y traes ese reporte, si dice que la muestra ya ha sido analizada la analizas de nuevo. Manual de Virustotal

Una vez analizado ese reporte vemos si realmente se trata de una infección o de un falso positivo, lo digo porque la denominación TR/Crypt.XPACK.Gen se usa para lalmar a los troyanos genericos y es posible que archivos legitimos o inofensivos sean detectados por su comportamiento o su empaquetadura comotroyanos sin llegar a serlo.

Si vemos que realmente se trata de un troyano miras que otros archivos estan dentro de esa carpeta:


C:\Documents and Settings\jelopez\Configuración local\temp\e03535c28ec5473ca0938496f71798dc

Y de llegar a ser necesario la mandamos a eliminar con la ayuda de Combofix.

Saludos.

Se me olvido comentar que ese fichero no existe en la ruta

(el fichero es 'C:\Documents and Settings\jelopez\Configuración local\temp\e03535c28ec5473ca0938496f71798dc\http.d ll. ---sobraba un espacio)

Lo que hay en ese directorio es (por si es de ayuda)

El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 80EA-A4DA

Directorio de C:\Documents and Settings\jelopez\Configuraci¢n local\temp\e03535c28ec5473ca0938496f71798dc

06/11/2009 19:40 15.086 2e44270022f34af99c856b6ff03559bb
06/11/2009 19:40 15.086 e43dd747a8b54d09a3da8524161ada22
06/11/2009 19:40 204.416 filesys.dll
06/11/2009 23:49 0 txt
06/11/2009 19:40 0 __0.swf
06/11/2009 19:40 65 __main.swf
6 archivos 234.653 bytes
0 dirs 68.148.310.016 bytes libres

(justo habíamos cruzado los dos últimos posts)
Como te digo, no existe esa dll. He analizado la otra y te adjunto el log. Parece que está limpia.
¿Pero porqué el avira dice que es http.dll? Vaya lío...


Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.41 2009.11.06 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.06 -
Avast 4.8.1351.0 2009.11.06 -
AVG 8.5.0.423 2009.11.06 -
BitDefender 7.2 2009.11.06 -
CAT-QuickHeal 10.00 2009.11.06 -
ClamAV 0.94.1 2009.11.06 -
Comodo 2864 2009.11.06 -
DrWeb 5.0.0.12182 2009.11.06 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.06 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.06 -
GData 19 2009.11.06 -
Ikarus T3.1.1.74.0 2009.11.06 -
Jiangmin 11.0.800 2009.11.06 -
K7AntiVirus 7.10.890 2009.11.06 -
Kaspersky 7.0.0.125 2009.11.06 -
McAfee 5794 2009.11.06 -
McAfee+Artemis 5794 2009.11.06 -
McAfee-GW-Edition 6.8.5 2009.11.06 -
Microsoft 1.5202 2009.11.06 -
NOD32 4580 2009.11.06 -
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.06 -
Panda 10.0.2.2 2009.11.06 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.06 -
Rising 21.54.44.00 2009.11.06 -
Sophos 4.47.0 2009.11.06 -
Sunbelt 3.2.1858.2 2009.11.06 -
Symantec 1.4.4.12 2009.11.06 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.06 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.06 -
Información adicional
Tamano archivo: 204416 bytes
MD5...: 4b854d2de327945d68689fa4ef3975c0
SHA1..: 7cbb3b330064e5b69bd7a48854180b32979ddddd
SHA256: ad0261378ae98f3ff7d6f76c63ec34dc1399b533f423c2a24a 6be9efcbb182a1
ssdeep: 3072:25aLx73NSmVXbKI0QCZk/RWNY5rB/OKJLvnQgiPOH7P2irtlmz:7tNtX+Fk
/MOrBZJjnQFPQzc

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1e62d
timedatestamp.....: 0x4905da0b (Mon Oct 27 15:11:07 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2d73e 0x2d800 5.89 2c3d0d60e2b685c3b5107bc03454686d
.reloc 0x2f000 0x2f72 0x3000 5.46 2387f3424659708edd7e02820ee36c71

( 5 imports )
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoA, GetFileVersionInfoW, GetFileVersionInfoSizeA, VerQueryValueA
> KERNEL32.dll: LCMapStringW, LCMapStringA, CreateFileA, CreateFileW, InitializeCriticalSection, CreateSemaphoreA, DeleteCriticalSection, CloseHandle, WriteFile, SetFilePointer, SetFileAttributesA, SetFileAttributesW, GetFileAttributesA, GetFileAttributesW, ReleaseSemaphore, WaitForSingleObject, LeaveCriticalSection, EnterCriticalSection, ReadFile, GetFileSize, DeleteFileA, DeleteFileW, GetLogicalDrives, GetDriveTypeA, GetDriveTypeW, WinExec, GetWindowsDirectoryA, FindFirstFileA, FindClose, FindFirstFileW, GetDiskFreeSpaceA, GetDiskFreeSpaceW, FileTimeToSystemTime, FileTimeToLocalFileTime, RemoveDirectoryA, RemoveDirectoryW, MoveFileA, MoveFileW, GetVolumeInformationA, GetVolumeInformationW, GetTempPathA, FreeLibrary, GetProcAddress, LoadLibraryA, GetTempPathW, CopyFileA, CopyFileW, CreateDirectoryA, CreateDirectoryW, FindNextFileA, FindNextFileW, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, ResumeThread, SetThreadPriority, ReleaseMutex, Sleep, CreateThread, CreateMutexA, WaitForMultipleObjects, ExitThread, GetVersionExA, GetLastError, LocalFree, TerminateThread, GetStringTypeW, GetStringTypeA, GetOEMCP, GetACP, GetCPInfo, VirtualAlloc, SetStdHandle, FlushFileBuffers, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, RtlUnwind, GetCommandLineA, GetVersion, InterlockedDecrement, InterlockedIncrement, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, ExitProcess, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapAlloc, HeapSize, HeapFree, GetModuleHandleA, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree
> USER32.dll: GetWindowTextA, SendMessageA, GetDesktopWindow, GetClassNameA, GetWindow
> ole32.dll: CoCreateInstance, CoInitialize, CoUninitialize
> OLEAUT32.dll: -, -, -, -

( 6 exports )
Dispatch, DispatchSync, Get, OnLoad, OnUnload, Set

RDS...: NSRL Reference Data Set
-
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Northcode Inc.
Thawte Code Signing CA
Thawte Premium Server CA
signing date.: 4:11 PM 10/27/2008
verified.....: -

Alguien me ayuda?... por favor