Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola:

En primer lugar perdonad mi ignorancia pero llevo un par de semanas (desde que he instalado el zone alarm y el spy sweeper) que noto que el sistema va lento.

Con lento me refiero que tarda mucho en arrancar el explorer y luego a veces va lento incluso no me abre la páginas¿?? Con el emule es lentísimo tarda un montón en abrirse el explorer, antes de tener el firewall (zone alarm) y spy sweeper iba bien sin problemas.

Además tengo el zone alarm y el spy sweeper en el inicio y algunas veces al ejecutar el explorer el spy sweeper me da el siguiente mensaje:
El protector de comunicación de espias ha bloqueado el acceso a 69.50.190.131 y resulta que en el explorer no tengo ninguna página de inicio puesta.

Esperando cualquier sugerencia me despido

Megart

Hola megart !

Por favor realiza los siguientes pasos:
Descargar los siguientes programas (si ya los tienes, actualizalos): SpyBot y su manual, Ad-Aware Personal, Regseeker, Diskcleaner, Spyblaster y leer su manual.

Deshabilitar "Restaurar Sistema" (System Restore) Solo en Win ME y XP.
(Ten en cuenta que ya no podrás restaurar el sistema a un punto anterior).

Ver archivos ocultos en todos los Windows

Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)

Ejecutar las herramientas Spybot, Ad-Aware Personal y eliminar los intrusos que estos encuentren.

Ejecutar Regseeker y limpiar el registro hasta que no quede nada.

Utilizar "Disk Cleaner" para limpiar cookies y temporales.

Reiniciar el sistema en modo normal.

Instalar el Spyblaster.

Pasarle estos Antivirus Online: Ewido y Kaspersky (en ese orden).
Con Ewido elimina todos los malwares que encuentre.
De ambos nos pegas la parte del log donde encuentren algo malicioso o sospechoso.

Luego nos comentas los resultados.

Saludos,
Dilbert.

Dilbert:

Perdona por no haberte contestado antes, pero he estado unos días fuera, resulta que no debe ser de ningún spyware/malware ya que he pasado las aplicaciones spybot search & destroy y el ad aware sin problemas.

Además al desactivar el spy sweeper el Internet Explorer se ejecuta al instante he dejado un log en el foro oficial de Hijack ¿vale?

Gracias por todo.

Hola Dilbert:

Por si las moscas he seguido los pasos que me indicaste con este resultado:

Al instalar el SpywareBlaster resulta que el Spyt sweeper detecto/bloqueo un cambio en la protección (con relación a un dialer 1900 o algo parecido¿?). De todas formas se instalo, lo actualice pero realmente este programa no es residente ¿Verdad? únicamente bloquea el acceso/instalación de malware/spyware ¿verdad?

Pase los antivirus, el ewido no me iba por lo que he pasado primero el kaspersky y no detecto nada. Luego intente otra vez con el ewido y detecto lo siguiente:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Downloader.Agent.uj
Path: [568] VM_00DB0000
Risk: High

Name: Downloader.Agent.uj
Path: [600] VM_00C90000
Risk: High

Name: Downloader.Agent.uj
Path: [1144] VM_003C0000
Risk: High

Name: Downloader.Agent.uj
Path: [1544] VM_00A20000
Risk: High

Name: Downloader.Agent.uj
Path: [972] VM_003F0000
Risk: High

Name: Downloader.Agent.uj
Path: [1404] VM_00900000
Risk: High

Name: Downloader.Agent.uj
Path: [2304] VM_003A0000
Risk: High

Name: Downloader.Agent.uj
Path: [2332] VM_003E0000
Risk: High

Name: Downloader.Agent.uj
Path: [2444] VM_00910000
Risk: High

Name: Downloader.Agent.uj
Path: [2456] VM_003D0000
Risk: High

Name: Downloader.Agent.uj
Path: [3128] VM_003A0000
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0000018.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0001018.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0001025.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0001032.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002032.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002068.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002079.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002122.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002144.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP1\A0002158.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP2\A0003158.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP3\A0003694.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP3\A0003759.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0004529.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0004542.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0004857.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0004947.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0004976.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0005003.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0005402.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP4\A0005492.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP5\A0005580.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP5\A0005689.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP5\A0005697.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP5\A0005707.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{ED145633-3EE2-4915-83F3-3A9EE7C429C9}\RP5\A0005730.exe
Risk: High

Le di a eliminar, pero no sé si me lo eliminó definitivamente¿?? Como te he dicho he dejado un log del hijack en el subforo.

Gracias

Te recomendaría que siempre que un antivirus te encuentre algo, le vuelvas a pasar otro hasta que salga limpio (puede ser redundante, pero la seguridad de estar limpio es mejor...)

Realiza estos pasos que también servirán para eliminar los virus que tienes en los puntos de restauración de Windows.

Por favor realiza los siguientes pasos:
Descargar los siguientes programas: SpyBot y su manual, Ad-Aware Personal, Regseeker, Diskcleaner, Spyblaster y leer su manual.

Deshabilitar "Restaurar Sistema" (System Restore) Solo en Win ME y XP.
(Ten en cuenta que ya no podrás restaurar el sistema a un punto anterior).

Ver archivos ocultos en todos los Windows

Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)

Ejecutar las herramientas Spybot, Ad-Aware Personal y eliminar los intrusos que estos encuentren.

Ejecutar Regseeker y limpiar el registro hasta que no quede nada.

Utilizar "Disk Cleaner" para limpiar cookies y temporales.

Reiniciar el sistema en modo normal.

Instalar el Spyblaster.

Pasarle estos Antivirus Online: Ewido y Kaspersky (en ese orden).
Con Ewido elimina todos los malwares que encuentre.
De ambos nos pegas la parte del log donde encuentren algo malicioso o sospechoso.

Luego nos comentas los resultados.

Saludos,
Dilbert.

Hola:

He seguido los pasos y el Ewido me vuelve encontrar el Downloader.Agent.uj este es el reporte:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Downloader.Agent.uj
Path: [564] VM_00DB0000
Risk: High

Name: Downloader.Agent.uj
Path: [596] VM_00C90000
Risk: High

Name: Downloader.Agent.uj
Path: [1152] VM_003C0000
Risk: High

Name: Downloader.Agent.uj
Path: [2812] VM_00A20000
Risk: High

Name: Downloader.Agent.uj
Path: [2992] VM_003F0000
Risk: High

Name: Downloader.Agent.uj
Path: [3056] VM_00900000
Risk: High

Name: Downloader.Agent.uj
Path: [3256] VM_003A0000
Risk: High

Name: Downloader.Agent.uj
Path: [3360] VM_003E0000
Risk: High

Name: Downloader.Agent.uj
Path: [3396] VM_00B70000
Risk: High

Name: Downloader.Agent.uj
Path: [3424] VM_00910000
Risk: High

Name: Downloader.Agent.uj
Path: [3464] VM_003D0000
Risk: High

Name: Downloader.Agent.uj
Path: [3248] VM_003A0000
Risk: High



El reporte del Kaspersky es:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, November 29, 2006 7:46:30 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 28/11/2006
Kaspersky Anti-Virus database records: 246483
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\

Scan Statistics:
Total number of scanned objects: 63008
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 02:18:15

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked skipped
C:\Archivos de programa\Webroot\Spy Sweeper\Masters\masters.bak Object is locked skipped
C:\Archivos de programa\Webroot\Spy Sweeper\Masters\Masters.const Object is locked skipped
C:\Archivos de programa\Webroot\Spy Sweeper\Masters\masters.mst Object is locked skipped
C:\Archivos de programa\Webroot\Spy Sweeper\Masters.base Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Ahead\Nero Home\bl.db-journal Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Ahead\Nero Home\is2.db-journal Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\ApplicationHistory\CLI.EXE.72313fbf.ini.i nuse Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Historial\History.IE5\MSHist0120061128200611 29\index.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Temp\Perflib_Perfdata_c70.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Temp\Perflib_Perfdata_cb0.dat Object is locked skipped
C:\Documents and Settings\andres\Configuración local\Temp\Perflib_Perfdata_cb8.dat Object is locked skipped
C:\Documents and Settings\andres\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\andres\ntuser.dat Object is locked skipped
C:\Documents and Settings\andres\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Data\settings.dat Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS033BBBAB-5F3D-4DE3-8211-DEBF27741611.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS0447D324-260D-41CF-BDA8-F2C73EF53682.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS05966F1B-2A33-4EA7-AFE2-5EDAF93E048C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS0DC01056-0147-4EA8-A611-A607F5346E25.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS0ED4A3A5-978C-40AD-90D0-651E3F70139C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS175864B1-C092-48D1-9D78-F58CF767B0B6.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS193E9E91-85CD-42B7-9F0A-A968B7552624.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS19E77087-AB1E-41F8-A74F-C110301DE104.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS267F135D-8819-4160-972A-6B6A2B38C94C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS28B17C9F-97CB-42BA-969F-AFB21EBA8A04.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS2B4C44AD-DECC-45F4-A17A-7C493CCF14DE.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS342BD515-B85B-4F47-AB3A-67A2727771B8.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS374FB42C-380D-4CA6-9D97-60ACFD93432E.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS3B4DD45F-55DA-479C-8E4F-5FCB008CA049.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS3DA2915E-B8C2-4695-BCC9-47E7CC6CEC12.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS4CAE0C08-5075-41C5-9C12-4B8FB1FE9D92.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS4D9B0F94-A752-4DC4-8F0D-8FD4C0D8CB0C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS4DE7D7ED-0B90-47C6-A795-9129ADB00F80.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS5210C887-0AE4-4386-8565-378F59BB9FA5.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS53979B23-3173-4C65-A248-72FC08DD5F5D.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS55ABC1E0-2F2E-46CB-B3AD-DB70E2518B06.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS5CA5ED68-14C7-4EF0-AFA7-F5DF8E3CF3F0.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS5E60FF3E-1079-4BEE-AEC3-5B6D042AA047.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS62FE81D9-4A2B-4340-9499-3F6DC0E484FF.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS713FA782-EB81-4AC5-BF07-DE61B093D57B.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS7309D13A-FEE4-46D0-8D25-3FD823C40FC2.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS741E52E5-DDBC-4953-A046-D89FA2041A01.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS77736BE4-32A1-4ACE-96EF-5AA3811A3F5F.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS7EB970AD-CA22-4A72-B9DE-EC775F4FFABB.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS81CA5A6F-862A-4050-867F-DA5CD75E83F9.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8277A60D-1B35-4E3D-848C-16ACB883CFB1.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS892EC397-3AFF-4622-9791-BA2AAC60450F.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8A93ECF6-B6D0-4E77-92B7-3F6F0E9EE392.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8AF3069B-81F5-468B-A2EC-C9F8808B44E3.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8DB8EF04-32AD-4DBD-9D18-B05BD01C1496.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8E570E45-44EF-428E-89B7-18597C27E5FE.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS8EA02D58-1566-4056-82A4-71A0590C8C5F.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS95D5F967-97D2-480A-9EEB-3AF0540C58F0.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS96829F06-3EE2-42F4-BDB0-5076C26C1F90.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS96D30D9B-D17B-463C-942C-D779E71FB368.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS98285948-4D73-4803-8A4E-6C1A8A64974C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCS9B695C42-777D-4265-AB0B-5E0B2F880815.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSA299CAAA-B134-429E-AB05-7D2C6183A4CF.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSA33AE961-EF68-49C2-90B9-1B67FDF064CA.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSA56A1043-4D34-4596-BA48-C976B4A1AC31.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSA5C4C3BC-5FF6-44D5-AAD7-DBD4EDD82F74.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSA9D7E885-1562-4E30-89F9-AF50287F159C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSAF3EC32C-F759-440B-B263-696F4F382828.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSB1E618D7-1DEB-45C4-829E-C6BF1BDCF7B8.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSBACBC1A3-E5DA-4931-A151-CA2F8CD78CAD.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSBEA31063-68A4-4225-9046-8B1FE9E5AF1C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSC3CF12D6-3D5B-4838-A557-91B8CBB28B2E.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSC55E4ABA-69C7-45D7-B98F-63E14FCB33BA.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSC85FF15C-24A0-478F-934E-8FF2426A8CF4.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSCA7DD3A3-5382-4E78-8164-E32E36EBB112.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSD1A65909-A60F-4045-B464-EFE440140905.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSD213D714-D907-4775-8D13-A77F3887D199.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSD320B1CB-A82C-4314-8861-D4E3DAB69CEA.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSD68E6F76-3C86-420A-A4AE-3AFAA2429864.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSD749154F-EBAF-4FAD-ABD6-47CEF858877A.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSDB31A5FF-8200-4E89-BF42-D0DCB3E871B8.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSDC0E16E0-D181-46D4-A5FD-46371CB47B84.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSDECC8F35-1DF9-4BC0-86D7-77B063650A0C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSE81026C6-FDFD-4F31-9EF3-22813AE488A7.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSED8E0DA0-4498-42B3-9C55-774AC6D3CDCC.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSF110D894-8AEA-4172-832C-B08B819307CD.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSF3954E73-2992-4515-B0EE-E640C347DC5C.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSF68158AF-E7F9-41BA-A9FE-A367F5FB325E.tmp Object is locked skipped
C:\Documents and Settings\LocalService\Datos de programa\Webroot\Spy Sweeper\Temp\SSCSFE99F1A3-7FD3-43E6-9264-7B55F7B3D821.tmp Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Internet Logs\ANDRES-PC.ldb Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd5133.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_668.dat Object is locked skipped
C:\WINDOWS\Temp\ZLT017ac.TMP Object is locked skipped
C:\WINDOWS\Temp\ZLT017b0.TMP Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.


Que antivirus online me recomiendas pasarle?

Gracias

Por favor sigue estos pasos para eliminar ese malware:

1.- Descarga la herramienta llamada FixWareout y guárdala en el escritorio de Windows, pero no la ejecutes aún.

2.- Deshabilita "Restaurar Sistema"

3.- Dale doble clic al archivo Fixwareout para que empiece la instalación del programa, luego le das clic al botón Next y luego a Install, debes verificar que la casilla "Run fixit" esté marcada y luego dale clic al botón Finish, va a aparecer una ventana donde deberás seguir las indicaciones del programa, esta te pedirá el reinicio de tu sistema.
El reinicio de la máquina puede demorar en cargar, esto es normal, cuando el sistema cargue sigue las indicaciones, luego el Hijackthis se abrirá.

4.- Pega un nuevo log de Hijackthis y pega también un log de Fixwareout que se encuentra en la carpeta C:\fixwareout\report.txt

Nota: Ejecuta esta herramienta en Modo Normal ya que necesita la conexión a la red para descargar otra herramienta (BFU). El firewall puede avisar que esta conexión se está realizando así que es importante que le permitas el acceso a la red.

Aguardamos tu informe,
Dilbert.

Hola Dilbert:

Al ejecutar la aplicación Fixwareout resulta que no encuentra el fichero bfu.zip para descargar desde internet¿??

Siguiendo la instrucciones de la ventana ms-dos al ejecutar el Fixwareout, he entrada en la página www.merijn.org me he bajado el bfu.zip pero según me indican:

download bfu.zip (brute force uninstaller) manualy and extract the fil BFU.exe to the fixwareout\subfolder then restart the batch, fixit.bat.

No encuentra el directorio fixwareout¿?? me imagino que al ejecutar el Fixwareout lo instalaria en C: ¿verdad?
Si consigo ejecutar el fixwareout debo hacerlo en modo normal ¿NO? o en "Modo a prueba de fallos"¿??

Gracias

Hola Dilbert:

He conseguido arrancar/ejecutar el fixwareout después de descomprimir el bfu.zip en el escritorio

Los resultados del log es:


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSMKE.EXE 51.810 2006-10-26
C:\WINDOWS\SYSTEM32\DMNNV.EXE 60.981 2004-08-19

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.



Y aqui tienes el log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:34:45, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162054317296
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Esperando recibir noticias tuyas, me despido
atentamente y gracias

Megart

Hola megart, el log de Hijackthis está limpio, el reporte de FixWareout muestra 2 archivos infectados:

- Activa la opción Ver Archivos Ocultos

- Reinicia en Modo Seguro

- Busca y elimina estos archivos:

C:\WINDOWS\SYSTEM32\CSMKE.EXE

C:\WINDOWS\SYSTEM32\DMNNV.EXE

Sino se dejan eliminar utiliza "Killbox"

- Reinicia en Modo Normal y verifica con Ewido si aún encuentra la infección.

- Deshaz los pasos 1 y 2.

Saludos