• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Infectado con "File Recovery"

    gracias fer, tuve el mismo problema, el dichoso virus del file recover, estuve usando el malwarebytes, pc tools, y nada, pero con combo fix parece solucionado, esperemos que no me haya borrado nada critico para ...

    1. #1
      Usuario Avatar de tacherr
      Registrado
      ago 2012
      Ubicación
      pakos
      Mensajes
      2

      Infectado con "File Recovery"

      gracias fer, tuve el mismo problema, el dichoso virus del file recover, estuve usando el malwarebytes, pc tools, y nada, pero con combo fix parece solucionado, esperemos que no me haya borrado nada critico para el sistema.

      Se sabe de donde podria provenir? es decir que te aparezca una ventana pidiendo instalacion i le digas que no, aun asi se instale solo. Me pregunto si podria ser pq visite una pagina web o simplemente estava oculto en un programa que me descargue

    2. #2
      Ex-Colaborador Avatar de Fer21021
      Registrado
      abr 2008
      Ubicación
      Argentina
      Mensajes
      6.216

      Re: Infectado con "File Recovery"

      Hola, tacherr Bienvenido al Foro.

      Moví tu mensaje a un tema nuevo, para no desvirtuar el tema del otro usuario.


      Se sabe de donde podria provenir? es decir que te aparezca una ventana pidiendo instalacion i le digas que no, aun asi se instale solo. Me pregunto si podria ser pq visite una pagina web o simplemente estava oculto en un programa que me descargue
      Bueno, todo es posible.
      Puede ingresar tanto porque uno se asusta del mensaje que dice que la Pc esta en riesgo, si le das clic, listo infectado. O tambien solo con visitar sitios webs infectados, por lo cual siempre se recomienda tener actualizado el antivirus (motor y base de datos), y tener actualizado el navegador que utilices, Java, Adobe Flash Player, etc.

      ----------------------

      En cuanto a ComboFix, no se recomienda que lo uses por tu cuenta, por los daños que podría ocasionar,
      Te recomiendo que pegues el reporte de ComboFix, para verificar que este todo bien.


      Saludos.
      »» »» »».......Persevera y triunfarás........«« «« ««

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de tacherr
      Registrado
      ago 2012
      Ubicación
      pakos
      Mensajes
      2

      Re: Infectado con "File Recovery"

      A mi me salio una ventana para instala chrmpdt. o algo asi, una update del chrome vamos, lo cerre pero como volvia le di al no :(

      aqui el reporte

      ComboFix 12-08-29.03 - toni 30/08/2012 14:05:31.1.2 - x86 NETWORK
      Microsoft Windows 7 Home Basic 6.1.7600.0.1252.34.3082.18.2047.1247 [GMT 2:00]
      Running from: c:\3\ComboFix.exe
      SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Created a new restore point
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\programdata\HFTAMiwlSWdo.exe
      c:\programdata\mj0fmDA4WDC6rx
      c:\programdata\mj0fmDA4WDC6rx.exe
      c:\programdata\ntuser.dat
      c:\users\toni\AppData\Roaming\Aficko
      c:\users\toni\AppData\Roaming\Aficko\ildoc.ucz
      c:\users\toni\AppData\Roaming\Delei
      c:\users\toni\AppData\Roaming\Delei\goul.pau
      c:\users\toni\AppData\Roaming\Efudo
      c:\users\toni\AppData\Roaming\Efudo\fome.exe
      c:\users\toni\AppData\Roaming\OfferBox
      c:\users\toni\AppData\Roaming\OfferBox\config.xml
      c:\users\toni\AppData\Roaming\OfferBox\run.log
      c:\users\toni\AppData\Roaming\Paebaw
      c:\users\toni\AppData\Roaming\Paebaw\qiuxe.exk
      c:\users\toni\HFRecovery.exe
      c:\users\toni\mbam-setup-1.62.0.1300.exe
      c:\windows\system32\networkdlllsp.dll
      c:\windows\system32\tmp1AA8.tmp
      c:\windows\system32\tmp1AA9.tmp
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-07-28 to 2012-08-30 )))))))))))))))))))))))))))))))
      .
      .
      2012-08-30 12:13 . 2012-08-30 12:13 -------- d-----w- c:\users\toni\AppData\Local\temp
      2012-08-30 12:13 . 2012-08-30 12:13 -------- d-----w- c:\users\Default\AppData\Local\temp
      2012-08-30 11:50 . 2012-06-22 09:39 70768 ----a-w- c:\windows\system32\drivers\PCTBD.sys
      2012-08-30 11:50 . 2012-06-22 09:38 767960 ----a-w- c:\windows\BDTSupport.dll
      2012-08-30 11:50 . 2012-06-22 09:39 149464 ----a-w- c:\windows\SGDetectionTool.dll
      2012-08-30 11:50 . 2012-06-22 09:39 2267096 ----a-w- c:\windows\PCTBDCore.dll
      2012-08-30 11:50 . 2012-06-22 09:39 1689560 ----a-w- c:\windows\PCTBDRes.dll
      2012-08-30 11:49 . 2012-06-22 13:29 107896 ----a-w- c:\windows\system32\drivers\pctwfpfilter.sys
      2012-08-30 11:47 . 2012-08-30 11:47 -------- d-----w- c:\users\toni\AppData\Roaming\TestApp
      2012-08-30 11:22 . 2012-08-30 12:03 -------- d-----w- C:\3
      2012-08-29 21:54 . 2012-08-30 10:38 -------- d-----w- C:\1
      2012-08-29 21:32 . 2012-08-29 21:32 -------- d-----w- c:\users\toni\AppData\Roaming\Malwarebytes
      2012-08-29 21:31 . 2012-08-29 21:31 -------- d--h--w- c:\programdata\Malwarebytes
      2012-08-29 21:31 . 2012-08-29 21:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2012-08-29 21:31 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
      2012-08-28 17:01 . 2012-08-29 04:07 -------- d-----w- c:\program files\Holdem Indicator
      2012-08-28 09:58 . 2012-08-28 10:10 -------- d-----w- c:\users\toni\AppData\Roaming\888poker.es
      2012-08-28 09:58 . 2012-08-28 09:59 -------- d-----w- c:\program files\888poker.es
      2012-08-26 11:50 . 2012-08-29 21:42 -------- d-----w- c:\users\toni\AppData\Roaming\Tufy
      2012-08-26 11:50 . 2012-08-29 10:57 -------- d-----w- c:\users\toni\AppData\Roaming\Ycur
      2012-08-24 22:36 . 2012-08-24 22:36 292864 ----a-r- c:\users\toni\AppData\Roaming\Microsoft\Installer\{53C1E370-CEE2-434B-9ED6-CFAA20CF5509}\Icon53C1E3704.exe
      2012-08-24 22:36 . 2012-08-24 22:36 14848 ----a-r- c:\users\toni\AppData\Roaming\Microsoft\Installer\{53C1E370-CEE2-434B-9ED6-CFAA20CF5509}\Icon53C1E3707.exe
      2012-08-24 22:36 . 2012-08-24 22:36 104448 ----a-r- c:\users\toni\AppData\Roaming\Microsoft\Installer\{53C1E370-CEE2-434B-9ED6-CFAA20CF5509}\Icon53C1E3703.exe
      2012-08-24 22:36 . 2012-08-24 22:36 -------- d-----w- c:\program files\HoldemRadar
      2012-08-22 20:24 . 2012-08-22 20:25 -------- d-----w- c:\program files\Google
      2012-08-20 20:17 . 2012-08-20 20:17 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2012-08-20 19:40 . 2012-08-20 19:40 -------- d-----w- c:\users\toni\AppData\Local\Opera
      2012-08-20 19:39 . 2012-08-20 19:40 -------- d-----w- c:\program files\Opera
      2012-08-11 18:57 . 2012-08-11 18:57 -------- d-----w- c:\users\toni\AppData\Local\Macromedia
      2012-08-11 18:57 . 2012-08-20 20:17 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2012-08-07 13:31 . 2012-08-09 14:03 -------- d-----w- c:\users\toni\AppData\Roaming\Lefave
      2012-08-06 16:27 . 2012-08-29 21:42 -------- d-----w- c:\users\toni\AppData\Roaming\Ulzeas
      2012-08-06 16:27 . 2012-08-24 19:43 -------- d-----w- c:\users\toni\AppData\Roaming\Guhub
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2012-07-13 00:46 . 2012-07-13 00:55 1039573 ----a-w- C:\Universal-USB-Installer-1.9.0.3.exe
      2012-06-22 08:43 . 2012-08-30 11:50 3488 ----a-w- c:\windows\UDB.zip
      2012-06-22 08:43 . 2012-08-30 11:50 131 ----a-w- c:\windows\IDB.zip
      2012-07-20 11:04 . 2012-06-17 16:46 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
      .
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{db131c55-60c8-4adc-84dc-9e76ab06e2dc}]
      2011-05-09 09:49 176936 ----a-w- c:\program files\uTorrentBar_ES\prxtbuTor.dll
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{db131c55-60c8-4adc-84dc-9e76ab06e2dc}"= "c:\program files\uTorrentBar_ES\prxtbuTor.dll" [2011-05-09 176936]
      .
      [HKEY_CLASSES_ROOT\clsid\{db131c55-60c8-4adc-84dc-9e76ab06e2dc}]
      .
      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{DB131C55-60C8-4ADC-84DC-9E76AB06E2DC}"= "c:\program files\uTorrentBar_ES\prxtbuTor.dll" [2011-05-09 176936]
      .
      [HKEY_CLASSES_ROOT\clsid\{db131c55-60c8-4adc-84dc-9e76ab06e2dc}]
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "DAEMON Tools Pro Agent"="c:\program files\DAEMON Tools Pro\DTAgent.exe" [2012-02-02 3035968]
      "OscarEditor"="c:\program files\Anti-Vibrate Oscar Editor\OscarEditor.exe" [2010-07-22 2636800]
      "HoldemRadar"="c:\program files\HoldemRadar\HRLauncher.exe" [2008-06-01 98304]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-18 7711264]
      "CTSyncService"="c:\program files\InstallShield Installation Information\{F3D9AC82-30F4-4BB9-B9AB-8697637568C1}\AMBSPISyncService.exe" [2009-07-08 1233195]
      "VolPanel"="c:\program files\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe" [2009-05-04 241789]
      "RunDLLEntry"="c:\windows\system32\AmbRunE.dll" [2009-02-26 14848]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
      "Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
      "SmartviewAgent"="c:\program files\DeviceVM\SmartView\SmartViewAgent.exe" [2010-09-02 948504]
      "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "GrpConv"="grpconv -o" [X]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]
      @="Service"
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService]
      @="Service"
      .
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "Google Update"="c:\users\toni\AppData\Local\Google\Update\GoogleUpdate.exe" /c
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "UpdReg"=c:\windows\UpdReg.EXE
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      "SmartViewAgent"="c:\program files\DeviceVM\SmartView\SmartViewAgent.exe"
      .
      R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [x]
      R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [x]
      R1 PCTSD;PC Tools Spyware Doctor Driver;c:\windows\system32\Drivers\PCTSD.sys [x]
      R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe [x]
      R2 gupdate;Servicio de Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
      R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
      R2 SmartViewService;SmartView service;c:\program files\DeviceVM\SmartView\SmartViewService.exe [x]
      R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
      R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [x]
      R2 WCUService;SmartView Software Updater Service;c:\program files\DeviceVM\SmartView Software Updater\WCUService.exe [x]
      R3 athrusb;Atheros Wireless LAN USB device driver;c:\windows\system32\DRIVERS\athrusb.sys [x]
      R3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [x]
      R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [x]
      R3 gupdatem;Servicio de Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
      R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
      R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
      R3 netr73;Controlador de tarjeta LAN inalámbrica USB RT73 para Vista;c:\windows\system32\DRIVERS\netr73.sys [x]
      R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [x]
      R3 PCTBD;PC Tools Browser Defender Driver;c:\windows\system32\Drivers\PCTBD.sys [x]
      R3 rt61x86;RT61 Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr61.sys [x]
      R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools\PC Tools Security\pctsAuxs.exe [x]
      R3 Sound Blaster X-Fi MB Licensing Service;Sound Blaster X-Fi MB Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\XMBLicensing.exe [x]
      R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [x]
      S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
      S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
      S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      .
      .
      --- Other Services/Drivers In Memory ---
      .
      *NewlyCreated* - WS2IFSL
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
      .
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2012-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-22 20:24]
      .
      2012-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-22 20:24]
      .
      2012-08-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1339880376-172687561-2904179332-1000Core.job
      - c:\users\toni\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-19 16:59]
      .
      2012-08-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1339880376-172687561-2904179332-1000UA.job
      - c:\users\toni\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-19 16:59]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://search.babylon.com/home?AF=17425
      LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
      LSP: %SystemRoot%\system32\PrxerDrv.dll
      TCP: DhcpNameServer =ip
      FF - ProfilePath - c:\users\toni\AppData\Roaming\Mozilla\Firefox\Profiles\np02octk.default\
      FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851619&SearchSource=2&q=
      FF - user.js: network.cookie.cookieBehavior - 0
      FF - user.js: privacy.clearOnShutdown.cookies - false
      FF - user.js: security.warn_viewing_mixed - false
      FF - user.js: security.warn_viewing_mixed.show_once - false
      FF - user.js: security.warn_submit_insecure - false
      FF - user.js: security.warn_submit_insecure.show_once - false
      .
      - - - - ORPHANS REMOVED - - - -
      .
      WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
      HKCU-Run-HFTAMiwlSWdo.exe - c:\programdata\HFTAMiwlSWdo.exe
      HKCU-Run-mj0fmDA4WDC6rx - c:\programdata\mj0fmDA4WDC6rx.exe
      HKCU-Run-Mupuisox - c:\users\toni\AppData\Roaming\Ulzeas\luer.exe
      HKLM-RunOnce-<NO NAME> - (no file)
      .
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      Completion time: 2012-08-30 14:15:42
      ComboFix-quarantined-files.txt 2012-08-30 12:15
      .
      Pre-Run: 15.326.105.600 bytes libres
      Post-Run: 15.599.030.272 bytes libres
      .
      - - End Of File - - 03B85E58370724C48EABD012F4ED7FD1
      Última edición por tacherr fecha: 30/08/12 a las 14:14:46

    4. #4
      Ex-Colaborador Avatar de Fer21021
      Registrado
      abr 2008
      Ubicación
      Argentina
      Mensajes
      6.216

      Re: Infectado con "File Recovery"

      Buenas,

      Desinstala ComboFix de la siguiente manera:

      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /Uninstall como muestra la imagen debajo:

      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")


      -------------------

      Te dejo una herramienta sencilla para eliminar los restos de una toolbar.

      • Descarga >> AT-Destroyer (Adwares/Toolbars-Destroyer) by @Infospyware.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Ejecuta AT-Destroyer. (Si usas Windows Vista o 7 Presiona clic derecho y selecciona "Ejecutar como Administrador.")
      • Aparecerá el Disclaimer, si estás de acuerdo, presiona SI para continuar.
      • Presiona sobre la opción 1 (Buscar y Destruir) para comenzar es escaneo.
      • AT-Destroyer desconectará el escritorio momentáneamente.
      • En caso de estar infectado, AT-Destroyer lo indicará con lineas rojas donde se haya encontrado la infección, sino, serán lineas verdes.
      • Una vez terminado el escaneo, podrás volver a ver el escritorio y se te abrirá un reporte, que deberás copiar en tu próxima respuesta comentando cómo funciona el sistema.
      • Una vez terminado el escaneo, podrás volver a ver el escritorio y se te abrirá un reporte, que deberás copiar en tu próxima respuesta comentando cómo funciona el sistema.(También lo puedes encontrar en C:\AT-Destroyer.log)
      • Inmediatamente debes Reiniciar el equipo.

      Trae el reporte de AT Destroyer.


      Saludos.
      »» »» »».......Persevera y triunfarás........«« «« ««

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.