• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    Virus Pum.UserWLoad Trojan.Ransom (Solucionado)

    Resumen del tema: Virus Pum.UserWLoad Trojan.Ransom (Solucionado) - Buenas tardes, Tengo problemas con los virus Pum.UserWLoad y Trojan.Ransom. La secuencia de lo acontecido fue, que tras navegar por una web dedicada a las matemáticas, el windows defender avisó por un ataque, pulsé en ...

      
    1. #1
      Usuario Avatar de Yastoy
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      11

      Virus Pum.UserWLoad Trojan.Ransom (Solucionado)

      Buenas tardes,

      Tengo problemas con los virus Pum.UserWLoad y Trojan.Ransom. La secuencia de lo acontecido fue, que tras navegar por una web dedicada a las matemáticas, el windows defender avisó por un ataque, pulsé en "quitar" e inmediatamente apareció un pop-up de un falso antivirus "Internet Seecurity 2013". Todo el equipo quedó bloqueado, aplicaciones, carpetas, antivirus, navegadores... incluso el administrador de tareas desaparecia inmediatamente si quería actuar a través de él.

      Reinicié el equipo en modo seguro, actualicé malwerbytes (mbam) y aparecieron varios virus; se eliminaron algunos y el falso antivirus ya no volvió a aparecer, pero al pasarlo de nuevo los virus Pum.UserWLoad y Trojan.Ransom se resisten:

      Valores del Registro Detectados: 2
      HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> datos: C:\Users\Alberto\LOCALS~1\Temp\msoott.bat -> Se eliminarán al reiniciar.
      HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> datos: C:\Users\Alberto\LOCALS~1\Temp\msoott.bat -> Se eliminarán al reiniciar.


      Por otros posts que he leído, se ha tenido exito utilizando OTL, pero por lo que veo hay que poner los comandos adecuados, y supongo que los que cada caso precise.

      Por otra parte, al incial el equipo aparece el siguiente mensaje: No se puede cargar n i ejecutar "C:\Users\Alberto\LOCALS~1\Temp\msoott.bat" especificado en el registro. Asegúrese de que el archivo existe en el equipo o quite del regsitro toda referencia al mismo.

      Sobre esto, en el explorador de software de Windows defender, como programa de inicio, me aparece:
      Nombre de archivo: msoott.bat
      Ruta de acceso al archivo:
      C:\Users\Alberto\LOCALS~1\Temp\msoott.bat
      Tipo de inicio: Registro: Current User
      Ubicación: SOFTWARE\Microsoft|WindowsNT\CurrentVersion\Windows|Load
      Clasificación: Todavía sin clasificar
      Votación de Spynet: No disponible

      En teoría, con Windows Defender podría Eliminar o Inhabilitar este "programa de inicio", pero no me da la posiblidad (cualquier otro sí).

      Si bien, en el configurador del sistema no aparece ahora en "Aranque", aunque si lo he llegado a ver anteriormente.

      El caso es que localicé el registro e intenté eliminarlo, pero no me deja; sale mensaje diciendo "No se pueden eliminar todos los valores especificados."

      Otra cuestión que me parece extraña es que antes, en mi disco duro tenía unos 6 GB libres y ahora tengo 15GB. Aunque con todos los experimentos que he hecho ya no sé a que achacarlo.

      A ver si podeis ayudarme, que ya estoy un poco desesperado.

      Gracias por anticipado.
      Última edición por Yastoy fecha: 12/05/13 a las 10:54:45

    2. #2
      Moderador Gral.
      Avatar de Leosolari
      Registrado
      jun 2007
      Ubicación
      Argentina
      Mensajes
      54.896

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Hola




      Descargá la Herramienta Malwarebytes Anti-Rootkit (Beta) y descomprimí el contenido en Tu escritorio.

      • Abrí la carpeta Mbar. Doble clic en el archivo Mbar.exe
      • En la interfaz del programa hacé clic en Next.
      • Hacé clic en el botón Update. Terminando hacé clic en Next
      • Para iniciar el análisis hacé clic en el botón Scan
      • Terminando esto, si hay infección hacé clic en CleanUp, si no hay hacé clic en Exit.
      • Abrí la carpeta Mbar, abrí el archivo Mbar-log.txt y copiá y pegá todo su contenido en Tu próxima respuesta.




      NOTA: Volves con el reporte y Nos comentas como sigue el ordenador.





      Vas a trabajar con 2 herramientas. Intentá hacer todos los pasos que menciono mas abajo. Si alguno NO podes hacer, lo saltas y seguis con los otros.




      PASO 1



      Descargá Glary Utilities a Tu escritorio y lo instalas según Su manual.


      Ejecutá Glary Utilities

      • Presioná el Boton Mantenimiento un Clic
      • Presioná el Boton Ver Resultados y esperá a que termine.
      • Cuando termine, presionas el Boton Reparar Problemas.






      PASO 2



      Descarga la herramienta ComboFix.exe a Tu escritorio.
      • Desactivá temporalmente el Antivirus y/o Antispyware.
      • Cerrá todas las ventanas abiertas.
      • Hacé doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generará un reporte en C:\ComboFix.txt.


      • *Nota* Mientras CF este trabajando no debes mover el mouse ya que pararía su proceso.
      • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      • *Nota* No vuelvas a utilizar ComboFix ni ningun otro programa antivirus hasta que no te de una respuesta.



      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.


      NOTAS IMPORTANTES:

      ° Una vez Terminado el Trabajo de ComboFix, podes activar Tu antivirus.

      ° No Pongas los Reportes Dentro de Etiquetas Code ni HTML.

      ° No vuelvas a ejecutar ningún otro programa antivirus hasta que vuelva con una respuesta.

      ° Si No podes realizar un paso, lo saltas y seguis con el próximo.



      En Tu próxima respuesta, debes poner el reporte de ComboFix, que se encuentra en C:\ComboFix.txt



      Saludos

      `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.· No Desesperes.....Seguí Luchando `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.·

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Yastoy
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      11

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Ok, descargué y ejecuté Mbar. Encontró los dos virus y dice haberlos eliminado. Reinicié equipo y el mensaje que me salía:

      No se puede cargar ni ejecutar "C:\Users\Alberto\LOCALS~1\Temp\msoott.bat" especificado en el registro. Asegúrese de que el archivo existe en el equipo o quite del regsitro toda referencia al mismo

      ya no aparece.

      Copio el log de Mbar y luego vuelvo tras los dos pasos siguientes que me indicaste.


      Malwarebytes Anti-Rootkit BETA 1.05.0.1001
      Malwarebytes : Free anti-malware download

      Database version: v2013.05.12.03

      Windows Vista Service Pack 2 x86 NTFS
      Internet Explorer 9.0.8112.16421
      Alberto :: ACER [administrator]

      12/05/2013 17:35:34
      mbar-log-2013-05-12 (17-35-34).txt

      Scan type: Quick scan
      Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
      Scan options disabled:
      Objects scanned: 28928
      Time elapsed: 20 minute(s), 27 second(s)

      Memory Processes Detected: 0
      (No malicious items detected)

      Memory Modules Detected: 0
      (No malicious items detected)

      Registry Keys Detected: 0
      (No malicious items detected)

      Registry Values Detected: 2
      HKCU\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|Load (PUM.UserWLoad) -> Data: C:\Users\Alberto\LOCALS~1\Temp\msoott.bat -> Delete on reboot.
      HKCU\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|Load (Trojan.Ransom) -> Data: C:\Users\Alberto\LOCALS~1\Temp\msoott.bat -> Delete on reboot.

      Registry Data Items Detected: 0
      (No malicious items detected)

      Folders Detected: 0
      (No malicious items detected)

      Files Detected: 0
      (No malicious items detected)

      (end)

    4. #4
      Moderador Gral.
      Avatar de Leosolari
      Registrado
      jun 2007
      Ubicación
      Argentina
      Mensajes
      54.896

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Hola





      Descargá e instalá la herramienta CCleaner según Su manual.


      Con esta Herramienta vas a realizar las siguientes acciones:



      ° Vas a Su Pestaña Limpiador, presionas Analizar, esperá a que lo haga completamente y luego pulsas Ejecutar El Limpiador, para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.



      ------------------------------------------------
      ------------------------------------------------


      Vas a Su pestaña Registro y Pulsas Buscar Problemas, esperá a que termine y luego Pulsas Reparar Seleccionados, para limpiar todo el registro de Windows.



      ------------------------------------------------
      ------------------------------------------------



      ° Vas a Su pestaña Herramientas (Círculo Rojo) y pulsas el Boton Inicio (Óvalo Verde).

      Se abrirá el cuadro donde figuran las aplicaciones que están iniciando junto a Windows.

      Vas a la parte inferior derecha y pulsas el botón Guardar en un archivo de texto (Flecha Roja).





      Se abrirá un nuevo cuadro, donde te muestra que, por defecto, ese archivo se llamará Startup (Flecha Roja). Elegí como destino el Escritorio (Óvalo verde) para guardarlo y presionas el botón Guardar (Rectángulo Rojo).




      Listo. Cerras CCleaner, vas a Tu escritorio, abris ese reporte, seleccionas todo y lo copias y pegas en Tu próxima respuesta.





      Saludos

      `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.· No Desesperes.....Seguí Luchando `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.·

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de Yastoy
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      11

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Hola de nuevo Leo,

      Ejecuté Glary Utilities y luego ComboFix.

      Pego el log de éste último:

      ComboFix 13-05-12.01 - Alberto 12/05/2013 18:38:25.1.2 - x86
      Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.34.3082.18.2046.689 [GMT 2:00]
      Running from: c:\users\Alberto\Downloads\ComboFix.exe
      SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\programdata\Roaming
      c:\users\Alberto\AppData\Roaming\Microsoft\Windows\Recent\Comfy Cakes.pif
      c:\users\Alberto\AppData\Roaming\Microsoft\Windows\Recent\New Super Mario Bros Wii 3 (DAMENDS.COM)nds.pif
      .
      .
      ((((((((((((((((((((((((( Files Created from 2013-04-12 to 2013-05-12 )))))))))))))))))))))))))))))))
      .
      .
      2013-05-12 16:46 . 2013-05-12 16:46 -------- d-----w- c:\users\Default\AppData\Local\temp
      2013-05-12 16:14 . 2013-05-12 16:14 -------- d-----w- c:\users\Alberto\AppData\Roaming\GlarySoft
      2013-05-12 16:03 . 2013-05-12 16:03 -------- d-----w- c:\program files\Glary Utilities
      2013-05-12 13:32 . 2013-05-12 13:32 -------- d-----w- c:\program files\ESET
      2013-05-12 03:21 . 2013-05-12 03:21 -------- d-----w- C:\VritualRoot
      2013-05-12 03:19 . 2013-05-12 10:09 510033 ----a-w- c:\windows\system32\drivers\sfi.dat
      2013-05-12 02:35 . 2013-05-12 16:28 -------- d-----w- c:\programdata\Comodo
      2013-05-12 02:35 . 2013-05-12 02:35 1700352 ----a-w- c:\windows\system32\gdiplus.dll
      2013-05-12 02:34 . 2013-05-12 02:35 -------- d-----w- c:\programdata\Comodo Downloader
      2013-05-10 20:51 . 2013-05-10 21:52 -------- d-----w- c:\users\Alberto\AppData\Roaming\calibre
      2013-05-10 20:50 . 2013-05-10 20:51 -------- d-----w- c:\program files\Calibre2
      2013-05-10 12:41 . 2013-04-10 03:08 6906960 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4CBE51F3-7E64-4ABD-B516-2D4CE2719F33}\mpengine.dll
      2013-05-01 21:12 . 2013-05-01 21:12 1207888 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2013-05-02 00:06 . 2009-10-02 17:32 238872 ------w- c:\windows\system32\MpSigStub.exe
      2013-04-04 12:50 . 2011-01-09 16:24 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
      2013-03-12 20:29 . 2012-03-30 19:20 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2013-03-12 20:29 . 2011-05-19 20:14 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2013-03-11 13:25 . 2013-04-10 17:56 3603816 ----a-w- c:\windows\system32\ntkrnlpa.exe
      2013-03-11 13:25 . 2013-04-10 17:56 3551080 ----a-w- c:\windows\system32\ntoskrnl.exe
      2013-03-09 03:45 . 2013-04-10 17:56 49152 ----a-w- c:\windows\system32\csrsrv.dll
      2013-03-09 01:28 . 2013-04-10 17:56 64000 ----a-w- c:\windows\system32\smss.exe
      2013-03-08 03:53 . 2013-04-10 17:56 376320 ----a-w- c:\windows\system32\winsrv.dll
      2013-03-08 03:52 . 2013-04-10 17:56 2067968 ----a-w- c:\windows\system32\mstscax.dll
      2013-03-05 01:40 . 2013-04-10 17:56 2049024 ----a-w- c:\windows\system32\win32k.sys
      2013-03-03 19:07 . 2013-04-10 17:56 1082232 ----a-w- c:\windows\system32\drivers\ntfs.sys
      2013-02-22 03:46 . 2013-04-10 20:09 1800704 ----a-w- c:\windows\system32\jscript9.dll
      2013-02-22 03:38 . 2013-04-10 20:09 1129472 ----a-w- c:\windows\system32\wininet.dll
      2013-02-22 03:37 . 2013-04-10 20:09 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
      2013-02-22 03:34 . 2013-04-10 20:09 142848 ----a-w- c:\windows\system32\ieUnatt.exe
      2013-02-22 03:34 . 2013-04-10 20:09 420864 ----a-w- c:\windows\system32\vbscript.dll
      2013-02-22 03:31 . 2013-04-10 20:09 2382848 ----a-w- c:\windows\system32\mshtml.tlb
      2013-02-12 01:57 . 2013-03-20 20:07 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
      2013-03-12 13:59 . 2013-03-12 13:59 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
      .
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
      "Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
      "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RtHDVCpl"="RtHDVCpl.exe" [2007-05-29 4472832]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
      "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712]
      "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
      "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
      "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
      "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
      "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-11-22 107112]
      "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-28 134808]
      "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
      .
      c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
      Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-10 535336]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
      @="Service"
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
      "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe"
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3709572726-687231071-1170327843-1003]
      "EnableNotificationsRef"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      bthsvcs REG_MULTI_SZ BthServ
      LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2013-05-12 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:29]
      .
      2013-05-12 c:\windows\Tasks\GlaryInitialize.job
      - c:\program files\Glary Utilities\initialize.exe [2013-05-12 13:39]
      .
      2013-05-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3709572726-687231071-1170327843-1003Core.job
      - c:\users\Alberto\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-04 19:31]
      .
      2013-05-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3709572726-687231071-1170327843-1003UA.job
      - c:\users\Alberto\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-04 19:31]
      .
      2013-05-12 c:\windows\Tasks\User_Feed_Synchronization-{1E20765D-19B1-4276-A247-B49A8CF78A40}.job
      - c:\windows\system32\msfeedssync.exe [2011-08-09 16:40]
      .
      .
      ------- Supplementary Scan -------
      .
      uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
      uStart Page = hxxp://www.google.es/
      mStart Page = hxxp://es.es.acer.yahoo.com
      IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
      Trusted Zone: fnmt.es
      TCP: DhcpNameServer = 80.58.61.250 80.58.61.254
      DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} - hxxps://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
      FF - ProfilePath - c:\users\Alberto\AppData\Roaming\Mozilla\Firefox\Profiles\51grd4c7.default\
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
      FF - prefs.js: network.proxy.type - 0
      FF - ExtSQL: !HIDDEN! 2009-06-30 20:10; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
      FF - ExtSQL: !HIDDEN! 2013-01-07 19:01; [email protected]; c:\program files\Deskperience\Web Replay\WRMoz
      .
      - - - - ORPHANS REMOVED - - - -
      .
      SafeBoot-38163760.sys
      SafeBoot-WudfPf
      SafeBoot-WudfRd
      .
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
      Rootkit scan 2013-05-12 18:46
      Windows 6.0.6002 Service Pack 2 NTFS
      .
      scanning hidden processes ...
      .
      scanning hidden autostart entries ...
      .
      scanning hidden files ...
      .
      scan completed successfully
      hidden files: 0
      .
      **************************************************************************
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
      "ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      Completion time: 2013-05-12 18:51:02
      ComboFix-quarantined-files.txt 2013-05-12 16:51
      .
      Pre-Run: 16.289.325.056 bytes libres
      Post-Run: 16.008.998.912 bytes libres
      .
      - - End Of File - - 22C362E6455B7B519540827F3C77BFC1

    6. #6
      Usuario Avatar de Yastoy
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      11

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Listo, ejecuté CCleaner, limpiador y registros; copio el txt que me indicaste:

      Si HKCU:Run Acer Tour Reminder Acer Inc. C:\Acer\AcerTour\Reminder.exe
      Si HKCU:Run ehTray.exe Microsoft Corporation C:\Windows\ehome\ehTray.exe
      Si HKCU:Run Sidebar Microsoft Corporation C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      Si HKCU:Run SpybotSD TeaTimer Safer-Networking Ltd. C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      Si HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
      Si HKLM:Run ccApp Symantec Corporation "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      Si HKLM:Run eDataSecurity Loader HiTRUST C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      Si HKLM:Run IAAnotif Intel Corporation "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
      Si HKLM:Run LanguageShortcut CyberLink "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      Si HKLM:Run LManager Dritek System Inc. C:\PROGRA~1\LAUNCH~1\LManager.exe
      Si HKLM:Run RtHDVCpl Realtek Semiconductor RtHDVCpl.exe
      Si HKLM:Run StartCCC C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
      Si HKLM:Run SynTPEnh Synaptics, Inc. C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      Si HKLM:Run vptray Symantec Corporation C:\PROGRA~1\SYMANT~1\VPTray.exe
      Si HKLM:Run WarReg_PopUp Acer Inc. C:\Acer\WR_PopUp\WarReg_PopUp.exe
      Si Startup Common Empowering Technology Launcher.lnk Acer Inc. C:\Acer\Empowering Technology\eAPLauncher.exe

      Leo, si con esto hemos terminado, te agradezco enormemente la ayuda prestada, eficaz y rápida. Sinceramente, creo que esta web debería ser considerada una ONG (y de paso que los gobiernos la financien).

      El equipo parece que va perfectamente. Gracias por la clase magistral.

    7. #7
      Moderador Gral.
      Avatar de Leosolari
      Registrado
      jun 2007
      Ubicación
      Argentina
      Mensajes
      54.896

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Hola

      Desinstalá CF de la siguiente manera:
      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /Uninstall como muestra la imagen debajo:

      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")



      Si No podes desinstalalrlo asì, Descargá OTC.exe en el escritorio.

      Lo ejecutás y presionás Cleanup para Desinstalar ComboFix y sus carpetas creadas.

      Eso reiniciará tu pc.



      Nos comentas como sigue Todo ahora



      Saludos

      `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.· No Desesperes.....Seguí Luchando `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.·

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de Yastoy
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      11

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Eliminado ComboFix.

      Muchas gracias de nuevo por la ayuda.

      Un saludo.

    9. #9
      Moderador Gral.
      Avatar de Leosolari
      Registrado
      jun 2007
      Ubicación
      Argentina
      Mensajes
      54.896

      Re: Virus Pum.UserWLoad Trojan.Ransom y otras consecuencias

      Por cualquier otro problema, no dudes en volver a postear


      Tema Solucionado


      Si deseas REABRIR ESTE TEMA, presiona y Tu consulta serà atendida



      Te dejo saludos.



      Como recomendación final, te invitamos a seguirnos en nuestros canales de difusión: Blog, Twitter, Facebook, vía E-Mail, para estar al tanto de los nuevos malwares y como prevenirlos.

      `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.· No Desesperes.....Seguí Luchando `·.¸¸.·´´¯`··._.· ·.¸¸.·´´¯`··._.·

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.