Hola victor04:

Tu log no muestra ningún síntoma de infección , En todo caso el único programa que no es recomendable que tengas instalado es FlashGet , te sugiero que lo desinstales.


Realiza lo siguiente:

Descarga CCleaner .

Apaga restaurar el sistema

Entra en modo seguro al sistema

Limpia con CCleaner : Temporales del sistema , internet, cookies y cache , igualmente con este mismo programa limpia el registro windows , pasalo hasta que no te quede nada por borrar.

Reinicia y realiza 2 scan online con Trend Micro y Panda .

Pega aquí el reporte que te genere Panda.

Salu2

bueno cuento paso a paso que hice.

1) deshabilite restaurar sistema

2) en modo a prueba de fallos pase el ccleaner haciendo todo lo que me mencionastes pero tambien pase el nod32 escaneo completo ( no encontro nada ) adaware, spybot y regseeker. Esto lo hice en mis 2 cuentas por que no sabia en cual habia que hacerlo ( osea cuando inica me da a elgir entre la cuenta de usuario victor o administrador = hice todo en ambas pero en cual hay que hacerla?

3) reinicie la compu en modo normal y escanie con panda dando estos resultados ( vale aclarar que en medio del analisis del panda me salto el nod32 bloqueando el medbot.bj una ves mas )

log del panda


Incidencia Estado Elemento

Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.google.com.ar/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[ad.yieldmanager.com/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.doubleclick.net/]
Spyware:Cookie/PointRoll No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.ads.pointroll.com/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.tribalfusion.com/]
Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.serving-sys.com/]
Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.bs.serving-sys.com/]
Spyware:Cookie/Serving-sys No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.serving-sys.com/]
Spyware:Cookie/QuestionMarket No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.questionmarket.com/]
Spyware:Cookie/Cd Freaks No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.cdfreaks.com/]
Spyware:Cookie/Cd Freaks No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.club.cdfreaks.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.fastclick.net/]
Spyware:Cookie/WUpd No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.revenue.net/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.mediaplex.com/]
Spyware:Cookie/Casalemedia No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies-1.txt[.casalemedia.com/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Victor\Datos de programa\Mozilla\Firefox\Profiles\30tg7g73.default \cookies.txt[.google.com.ar/]

y despues pase el trend que encontro algunas cosas raras pero no me dejava guardar el log, igualmente borre todo.

gracias por la ayuda.

Buenas buenas.........


Había tratado de pasar antes, pero andaba buscando la persona que mas sabe de forospyware, la mala noticia fue que no lo encontré (Lo comento porque hay que tener cuidado en lo que se dice dentro del foro, no queremos que nadie se sienta mal no?)


La infección que presenta tu sistema (medbot, independientemente de la variante) trabaja de la siguiente forma:

El autorun.ini es solo un lanzador (como lo tienen muchos otros programas)

El Setup.exe es un fichero autoextraíble que se encarga de crear estos dos archivos en tu sistema:

C:\Windows\system\smss.exe

c:\windows\system32\nvsvcd.exe


--------------------------

Continuamos:

Mencionaste que tienes el sistema (los discos para ser mas específico) compartidos en red, obviamente deberás comenzar por quitar ese "compartir" mientras se trata de desinfectar tu sistema

Descarga el rootkitrevealer y descomprímelo en el escritorio (pero no ejecutes nada aún)

Seguido a lo anterior, entra en modo a prueba de fallos, y teniendo el sistema configurado para ver todos los archivos ocultos, asegúrate que los dos últimos archivos que te mencioné no existan, me refiero a estos dos:


C:\Windows\system\smss.exe

c:\windows\system32\nvsvcd.exe


Si están, deberás borrarlos, con el killbox preferiblemente


Nota: Existe un smss.exe en tu carpeta C:\windows\system32\, ese no lo vayas a borrar, observa que el que te pido borrar está en la carpeta system


En caso de que los hayas encontrado y los hayas borrado, o incluso sino los encontraste, borrarás el setup.exe y el autorun.ini, luego, haz lo siguiente:

- Ve a Inicio > Ejecutar y escribes %temp% luego dale click en Aceptar

- Borra "todo" lo que haya en esa carpeta, cualquier archivo que no se deje borrar fácilmente, bórralo con el killbox

- Dale click derecho a la papelera de reciclaje y vacíala

- Entra en la carpeta C:\Windows\Prefetch. Allí verás una cantidad de archivos con extensión .pf, busca y borra todos los que tengan relación a los nombres de los archivos que se borraron, estos son:

Setup.exe

smss.exe

nvsvcd.exe


Ejecuta el RootkitRevealer.exe que te pedí descomprimir a comienzos del tema y dale click al botón que dice "Scan". Deberás esperar a que el programa haga el chequeo de todo el sistema, al terminar, verás arriba todo lo que encontró, dale en File > Save y guardas un reporte el cual colocarás luego acá



Salu2

nunca fui mi intencion hacer sentir a alguien mal , mas cuando se ve la increible ayuda que dan gente como Astareth y Acron_0248.
primer aclaro que tenes razon no descompartia los discos asi que estas ves si los descomparti.

Hice todo lo dicho no encontre ni smss.exe ni nvsvcd.exe en windows.

En windows prefech solo aparecio el archivo SETUP.EXE-310A209C.pf que se relacionava con los demas y lo borre.

Cuando intente ejecutar elRootkitRevealer en modo a prueba de fallos no me dejo asi que lo hice desde windows y me dijo esto.


HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE 1126B64A90E8365B85CFCF6\ProductName 28/07/2006 09:31 p.m. 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 28/07/2006 09:40 p.m. 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 24/08/2006 08:46 p.m. 0 bytes Access is denied.

C:\WINDOWS\Prefetch\CHCP.COM-18156052.pf 18/09/2006 01:33 p.m. 4.77 KB Hidden from Windows API.

Volvi a poner a compartir los discos me propongo escrivir esto y volvio a saltar el virus pero esta ves una variante modificado osea medbot.bb.

PREGUNTAS:
vuelvo a habilitar restaurar sistema?
escaneo con mi antivirus mis antiespywares etc etc pero ahora con los discos NO compartidos ?

MUCHAS GRACIAS.

Esta red compartida que tienes, es con amigos tuyos o vecinos? es parte de una red de trabajo?

A cuantas PCs dentro de la red están siendo compartidos tus discos?


Si al momento justo de compartir los discos, el nod32 u otra herramienta te volvió a levantar aleras sobre el medbot (sin importar la variante), deberías tener en cuenta la posibilidad de que el virus no esté directamente en tu máquina sino en cualquiera de las otras máquinas de la red (Suponiendo que los discos estén compartidos con varias máquinas)

Obviamente, en una red infectada, el compartir tus discos generaría un hueco lo suficientemente vulnerable en tu sistema como para que el virus te infecte desde otra máquina, por qué? el medbot creará autocopias en los discos detectados en un sistema (sin importar que dichos discos sean discos de otra PC compartida en red)


Deberías, verificar las mismas infecciones que verificaste en tu sistema en las demás computadoras que estén formando parte de la red y tengan los discos compartidos igual que tú, si la infección está partiendo desde otra PC en la red, de nada sirve que desinfectemos tu sistema mil veces ya que mientras esté compartido, se volverá a infectar




Salu2

me parece que distes en el blanco, para probar descomparti mi disco C y deje compartido mis otros 2 discos, al momento de aparecer el virus aparecio en mis discos menos en la c que no estaba compartida despues tambien hice lo mismo sacando el compartir de la c y la d y el virus solo entro en la e osea el unico disco compartido asi que casi seguro es lo que decis vos, ahora saque el compartir de todos los discos y mañana cuando vuelvo de la facultad que tengo tiempo hago todo lo mencionado en el thread en mi otra compu ( la red es una simple red hogareña para compartir recursos ni internet comparto solo esta para compartir cosas con mi otra maquina )

pregunta:
si el virus proviene de mi otra maquina por que solo ataca a esta y la otra no tiene ningun tipo de problema ?

Posiblemente porque encontró tu sistema mas vulnerable que el otro


También, que no "presente" problemas no significa que los dos principales virus no estén allí


Los mismos pasos que seguiste en tu PC, hazlos en tu otra PC




Salu2

bueno hize lo mismo en mi otra pc busque los archivos escanie con el antivirus adaware limpie registro etc etc y no encontro nada grave,tambien lo volvi a hacer en mi otra pc pero esta ves todo siempre con los discos no compartidos.
actualmente hace mas de 1 dia que no aparece el virus y eso que ya volvi a compartir los discos rezare para que este solucionado el problema. muchas gracias y la verdad se merecen un