Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos, mi pc se ha infectado al parecer con un troyano y al pasarle kaspersky y AVG antispyware me da los sgtes resultados

---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

+ Creado en: 14:24:47 09/07/2007

+ Resultado del análisis:



C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\1D2AFE4V\kcehc_eicooc20070702[1] -> Downloader.Tiny.id : No se realizó ninguna acción.
C:\Documents and Settings\administrator\Datos de programa\tmp63E.tmp.exe -> Downloader.Tiny.id : No se realizó ninguna acción.
C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP3\A0000056.exe -> Downloader.Tiny.id : No se realizó ninguna acción.
[1172] C:\Documents and Settings\administrator\Datos de programa\tmp63E.tmp.exe -> Downloader.Tiny.id : No se realizó ninguna acción.
C:\Documents and Settings\administrator\Cookies\administrator@cpvfe ed[2].txt -> TrackingCookie.Cpvfeed : No se realizó ninguna acción.
[2956] C:\WINDOWS\system32\qwerty12.exe -> Trojan.Agent.aoy : No se realizó ninguna acción.


::Fin del informe

KASPERSKY ONLINE SCANNER INFORME
lunes, 09 de julio de 2007 14:32:44
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 9/07/2007
Registros en la base antivirus: 338032


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\
G:\
H:\
J:\

Estadísticas
Número de objeros analizados 42931
Virus encontrados 1
Objetos infectados 3 / 0
Objetos sospechosos 0
Duración del análisis 01:00:01

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\1D2AFE4V\kcehc_eicooc20070702[1] Infectados: Trojan-Downloader.Win32.Tiny.id saltado

C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\administrator\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\administrator\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\administrator\Datos de programa\tmp63E.tmp.exe Infectados: Trojan-Downloader.Win32.Tiny.id saltado

C:\Documents and Settings\administrator\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\administrator\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20070709_Time-124014421_EnterceptExceptions.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20070709_Time-124014421_EnterceptRules.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\Agent_LUIGGI_FAYAD.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\PrdMgr_LUIGGI_FAYAD.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\BufferOverflowProtectionLog.t xt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP3\A0000056.exe Infectados: Trojan-Downloader.Win32.Tiny.id saltado

C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP3\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.


Como veran en esa carpeta que supuestamente son archivos temporales de internet se supone q deberian borrarse con CCCleaner Disk Cleaner o algo asi, (yo tengo los 2 progrmas) y he borrado todo, incluso los elimine con file assassin, pero me vuelven a aparecer, y otra cosa mas: en el reporte de AVG sale q un virus esta alojado en la carpeta system volume information y no puedo acceder a ella, ya desactive restaurar sistema como 10 veces y no puedo entrar a la carpeta, alguien q me de una ayuda por favor

Con el AVG Anti-Spyware Elimina todo lo que te encuentre,por que veo que no hisistes nada.

Luego dices que has pasado el CCleaner y Disk cleaner y nada,has lo siguiente:

• Selecciona Panel de control, Opciones de Internet, General
• En Archivos temporales de Internet pincha en "Eliminar archivos"
• Marca la opción "Eliminar todo el contenido sin conexión"
• Pincha en Aceptar.

Busca y Elimina el siguiente archivo:

C:\Documents and Settings\administrator\Datos de programa\tmp63E.tmp.exe

Luego has lo siguiente:

• "Apaga Restaurar Sistema"
• Reinicias el sistema
• Activas de nuevo la restauración
• Reinicias nuevamente

Luego pasale otra ves el Kaspersky y pegame su reporte.

Salu2

No te entendi, lo que dices es q vaya a
panel de control, hay una opcion que dice
conexiones de red e internet luego
opciones de internet y en la ficha general me perdi, porque no hay la opcion archivos temporales de internet dice
pagina principal , historial de exploracion, busqueda y pestañas pero no esta lo q dices tu, lo q yo hice fue entrar a historial de exploracion y dar click en eliminar q tiene varias opciones

Ademas no es el unico archivo infectado, no se si te fijaste pero segun AVG tambien hay uno q se llama qwerty12.exe entonces son varios y kaspersky detecta solo 2

Hola de nuevo,

Mira cuando estes en la pestaña General,tendas que hacerle click ala siguiente pestaña (Te la marco en rojo)



Luego te saldra otra ventana diciendo que si deseas limpiar los archivos Temporales de Internet,ponle que si,luego Elimina todo lo que encontro AVG,y has los pasos de amero abajo que te indique.

Salu2

sigo igual, ya le he pasado los sigueintes antivirus:

Panda Online Scanner
Ewido Online Scanner
Spybot
SpywareBlaster
AVG Antispyware
DelPSGuard
Kaspersky
Regseeker
CCleaner
Diskcleaner

Y he eliminado todo lo q me detecta con file assassin, necesito ayuda porq hasta aqui llego lo poco q conozco sobre spyware... que mas puedo hacer?

Aver bamos por partes,peganos el Reporte del Kaspersky y el Panda Online para verlo...

Por que tienes barias infecciones en la carpeta System_Volume y con los pasos que te di se debieron de Ir.

Y el AVG te devio de eliminar todos lo que encontro,si no es haci peganos el reporte.

Salu2

Aqui estan los dos reportes:

martes, 10 de julio de 2007 16:20:16
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 10/07/2007
Registros en la base antivirus: 338255
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\
G:\
H:\
J:\
Estadísticas
Número de objeros analizados 43181
Virus encontrados 1
Objetos infectados 4 / 0
Objetos sospechosos 0
Duración del análisis 00:53:43

Bombre del objeto infectado Nombre del virus Última acción
C:\cuarentena\qonoml.dll.Vir Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\I05H7JQ4\kcehc_eicooc20070702[1] Infectados: Trojan-Downloader.Win32.Tiny.id saltado
C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\Working\database_FE80_E82E_80E7_EB 5B\dfsr.db Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\Working\database_FE80_E82E_80E7_EB 5B\fsr.log Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\Working\database_FE80_E82E_80E7_EB 5B\fsrtmp.log Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Messenger\luiggifv@hotmail.com\ SharingMetadata\Working\database_FE80_E82E_80E7_EB 5B\tmp.edb Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\luiggifv@hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\luiggifv@hotmail.com\shadow\members.stg Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Historial\History.IE5\MSHist0120070710200707 11\index.dat Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Temp\~DF831.tmp Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Temp\~DF8E3.tmp Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Temp\~DFD829.tmp Object is locked saltado
C:\Documents and Settings\administrator\Configuración local\Temp\~DFD841.tmp Object is locked saltado
C:\Documents and Settings\administrator\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\administrator\Datos de programa\tmp1C.tmp.exe Infectados: Trojan-Downloader.Win32.Tiny.id saltado
C:\Documents and Settings\administrator\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\administrator\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20070710_Time-131818843_EnterceptExceptions.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20070710_Time-131818843_EnterceptRules.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\Agent_LUIGGI_FAYAD.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\PrdMgr_LUIGGI_FAYAD.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\BufferOverflowProtectionLog.t xt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP1\A0000091.exe Infectados: Trojan-Downloader.Win32.Tiny.id saltado
C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP1\A0000123.exe Infectados: Trojan-Downloader.Win32.Tiny.id saltado
C:\System Volume Information\_restore{00D480DD-30EA-4AA1-86A9-5C7C4494AA6F}\RP1\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.


Este es el reporte q genero Panda





Incidencia Estado Elemento

Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\administrator\Configuración local\Temp\nsvB.tmp
Spyware:Cookie/Casalemedia No desinfectado C:\Documents and Settings\administrator\Cookies\administrator@casal emedia[2].txt
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\administrator\Cookies\administrator@fastc lick[2].txt
Spyware:Cookie/Winantivirus No desinfectado C:\Documents and Settings\administrator\Cookies\administrator@winan tivirus[1].txt

Hola

Descarga e instala las siguientes herramientas para la desinfeccion:

FileASSASSIN
CCleaner.[Manual]

Apaga el Restaurar Sistema

Activar la opción Ver archivos ocultos

Inicia el sistema en Modo a Prueba de Fallos

Busca y elimina los siguientes archivos (los pongo en rojo) usando el FileASSASSIN

C:\Documents and Settings\administrator\Configuración local\Archivos temporales de Internet\Content.IE5\I05H7JQ4\kcehc_eicooc20070702

C:\Documents and Settings\administrator\Configuración local\Temp\nsvB.tmp

Pasale el CCleaner ,limpias cookies y temporales

Reinicia el sistema en modo normal

Cuando termines los pasos Activa restaurar Sistema y Esconde los archivos ocultos

Pasale los online

ewido online (cuando termine dale en remove infection)(manual)

kaspersky online (pega el reporte entero que te genere)(manual)

Salu2

Este archivo si lo encontre y lo elimine
C:\Documents and Settings\administrator\Configuración local\Temp\nsvB.tmp

Pero este no:
C:\Documents and Settings\administrator\Configuración local\Archivos
temporales de Internet\Content.IE5\I05H7JQ4\kcehc_eicooc20070702
Al entrar a archivos temporales d internet no aparece ninguna carpeta y ya he puesto dejar ver archivos ocultos y desactive la casilla ocultar archivos protegidos del sistema operativo y desactive la opcion de restaurar sistema, lo busque con el motor d busqueda q viene con windows xp y me da algunas carpetas con el nombre Content.IE5 pero ninguna contiene ni la carpeta ni al archivo I05H7JQ4\kcehc_eicooc20070702

Hola, seguimos en este otro tema en HJT.

No puedo eliminar Win32.Tiny.id PC Cleaner - Win anitivirus (Terminado)