Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola gente, de nuevo pidiendo ayuda, hace un tiempo me pasó algo similar. No paso muy seguido el Superantispyware porque siempre que lo hago me dice que tengo más de 20 archivos peligrosos pero la vez anterior que me pasó esto y consulté con ustedes luego de todas las pruebas que me hicieron hacer confirmamois que nada de eso era spyware a pesar de lo que decía el informe de Superantispyware. Por lo tanto hoy hice el mismo procedimiento que me habían pedido la otra vez, pasar el CCleaner como limpiador 1ro y después como Registro, el Malwarebytes (que me dijo que está todo OK), sólo faltaría el kapersky online. Pero antes de hacerlo (y como la vez anteriortampoco detectó nada) prefiero mostrarles el informe del Superantispyware y les pido que me digan si este programa es realmente de confiar porque cada vez que lo paso me vuelve loca por nada y al final solo me hace perder tiempo
Tampoco quiero tener que pedirles ayuda cada vez que decida pasar el Superantispyware. Tal vez si no es confiable lo que me dice no vale la pena que lo siga usando..

No sé, díganme qué conviene hacer.

Acá está el informe:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/06/2009 at 11:42 AM

Application Version : 4.29.1004

Core Rules Database Version : 4236
Trace Rules Database Version: 2132

Scan type : Quick Scan
Total Scan Time : 00:11:59

Memory items scanned : 451
Memory threats detected : 0
Registry items scanned : 388
Registry threats detected : 25
File items scanned : 4354
File threats detected : 2

Trojan.Agent/Gen
HKU\S-1-5-21-1644491937-2147058177-725345543-500\Software\Microsoft\Internet Explorer\URLSearchHooks#{F4F10C1D-87C7-404A-B4B3-000000000000}
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\InprocServer32
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\InprocServer32#ThreadingModel
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\ProgID
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\Programmable
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\TypeLib
HKCR\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\VersionIndependentProgID
HKCR\SearchHook.SrchHook.1
HKCR\SearchHook.SrchHook.1\CLSID
HKCR\SearchHook.SrchHook
HKCR\SearchHook.SrchHook\CLSID
HKCR\SearchHook.SrchHook\CurVer
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}\1.0
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}\1.0\0
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}\1.0\0\win32
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}\1.0\FLAGS
HKCR\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}\1.0\HELPDIR
C:\ARCHIV~1\DAP\SBSEARCH.DLL
HKCR\Interface\{02FE50FA-9953-4B3E-98B1-0F1AF2577660}
HKCR\Interface\{02FE50FA-9953-4B3E-98B1-0F1AF2577660}\ProxyStubClsid
HKCR\Interface\{02FE50FA-9953-4B3E-98B1-0F1AF2577660}\ProxyStubClsid32
HKCR\Interface\{02FE50FA-9953-4B3E-98B1-0F1AF2577660}\TypeLib
HKCR\Interface\{02FE50FA-9953-4B3E-98B1-0F1AF2577660}\TypeLib#Version

Adware.Tracking Cookie
C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt

Hola bueno ,con respecto a superantispyware solo decirte q es de mucha confianza muy recomendado aqui y mantienen una buena base de virus y un buen motor de busqueda ,el log q te genero solo muestra un cookie encontrado q es normal y se crean cada vez q entras en una pagina web.
Decime la pc presenta algun problema?



salu2

Gracias por tu respuesta

No, mi PC por suerte funciona muy bien, hice el análisis solamente por control. La vez anterior creo que me mostró más o menos los mismos archivos. No sé si habrá alguna manera de hacer que la próxima no me los muestre como posibles archivos infectados, como para poder darme cuenta de cuando realmente aparezca algo que tenga que eliminar.

tu confias en los archivos que muestra?
veamos antes si no es una real infeccion o un falso positivo haz esto :

descarga Dr.Web CureIt y su manual

Dr. Web Cure-IT

• La herramienta primero realiza un chequeo express
• Despues escojes escaneo completo eliminas lo que encuentre o curas lo que encuentre.
• Terminado el escaneo. Ir a Archivo > Grabar lista de Informes... guardas el reporte y lo pegas en la proxima respuesta.

ten paciencia por que tarda.

OK. Si encuentra lo mismo que Superantispyware no me voy a animar a a eliminarlos prque la vez anterior, cuando puse esos archivos en cuarentena ahí sí la PC empezó con problemas... Una cosa que me olvidé de decir antes es que desde aquella vez hasta ahora la PC tuvo 2 o 3 formateos del disco rígido con todo instalado de cero.

bueno haz el scan de dr weby traelo y evaluo con que paso seguir

salu2

Ok, (había perdido dónde estaba este tema)..

Acá está el informe de Dr. Web:

JSCRIPT5.CHM\htm/jstextwriteln.htm C:\Archivos de programa\Microsoft Office\Office10\3082\JSCRIPT5.CHM una modificación de VBS.Generic.94
JSCRIPT5.CHM C:\Archivos de programa\Microsoft Office\Office10\3082 Contenedor con objetos infectados


No moví ni eliminé nada

bueno deberias eliminarlos hagamoslo de forma manual

Hola sigue estos pasos


descarga OTM -MANUAL

* Descarga OTM en el escritorio.
* Haz doble clic sobre el icono OTM.exe para ejecutarlo
* Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
* Pega el siguiente script, que se encuentra dentro del recuadro de abajo, en el area "Paste Instructions for items to be Moved"

* dar clic sobre el boton MoveIt!
* Espera hasta cuando el resultado aparezca en el marco Results.
* Simultáneamente se abrirá un aviso preguntando si deseamos reiniciar el PC, pulsa sobre Yes para reiniciar. si no sale ese aviso lo reinicias manualmente,>>> Este reinicio es importante
* En tu proximo mensaje envia reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log







repite un scan a ver como va todo






salu2.

Ya lo hice, ahora decime cómo hago para recuperarlos porque no tengo más Office




All processes killed
========== FILES ==========
C:\Archivos de programa\Microsoft Office\Office10\3082\JSCRIPT5.CHM moved successfully.
C:\Archivos de programa\Microsoft Office\Office10\3082\webcomp moved successfully.
C:\Archivos de programa\Microsoft Office\Office10\3082\DataServices moved successfully.
C:\Archivos de programa\Microsoft Office\Office10\3082\botstyle moved successfully.
C:\Archivos de programa\Microsoft Office\Office10\3082 moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 7852801 bytes
->Temporary Internet Files folder emptied: 17462634 bytes
->Java cache emptied: 14384096 bytes
->FireFox cache emptied: 86678415 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 10345488 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 453926 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114656 bytes
%systemroot%\System32 .tmp files removed: 2909 bytes
Windows Temp folder emptied: 99373 bytes
RecycleBin emptied: 314506238 bytes

Total Files Cleaned = 432,90 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11082009_154319

Files moved on Reboot...

Registry entries deleted on Reboot...

bien los archivos q borraste estaban infectados ,nose como conseguiste office si era legal o no si es bajado de internet es probable q este infectado desde antes d instalar por lo q te recomiendo una reinstalacion del paquete de office

salu2