Me infecte con trojan (SOLUCIONADO)

[moabita123]

Hola,



Saludos a todos en el foro, es la primera vez que escribo aqi ya que buscando informacion sobre adware encontre esta pagina

despues de mi saludo redacto mi problema esperando me puedan ayudar, hace tres dias que mi laptop esta muy lenta y cuando abro firefox en la pagina de google y quiero acceder a un enlace me reedirecciona a otras paginas, pase mi antivirus mcafee,

el malwarebytes, adware y superantispyware pero cuando los paso otra vez me siguen identificando adware malware y trojanos todos los programas los he pasado en modo seguro porque en modo normal no puedo correr mi antivirus, asi las cosas he pasado el ElistarA y ElitriIP y adjunto el reporte que me genero, espero hberlo hecho bien tambien mande la muestra que me pidio, bueno espero alguna respuesta y agradezco mucho su atencion y ayuda saludos y gracias.



(9-6-2011 03:26:53 (GMT))

EliStartPage v23.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Junio del 2011)

--------------------------------------------------

Usuario: ULL2

ID de Usuario: S-1-5-21-1229272821-2111687655-1801674531-500



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(9-6-2011 03:28:29 (GMT))

EliStartPage v23.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Junio del 2011)

--------------------------------------------------

Usuario: Owner

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\UBABUDEP.DLL.Muestra EliStartPage v23.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UBABUDEP.DLL --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "IFEFA"="rundll32.exe "C:\WINDOWS\ubabudep.dll",Startup"

No Existe el Fichero HOSTS.

Creado HOSTS por el Original.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectada Posible Infección del MBR con Técnicas Stealth.



(9-6-2011 03:28:43 (GMT))

EliStartPage v23.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Junio del 2011)

--------------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500



Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectada Posible Infección del MBR con Técnicas Stealth.



(9-6-2011 03:57:09 (GMT))

EliStartPage v23.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Junio del 2011)

--------------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9087

Nº Total de Ficheros: 80209

Nº de Ficheros Analizados: 22983

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-6-2011 04:32:14 (GMT))

EliTriIP v7.47 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2011)

---------------------------------------------

Usuario: ULL2

ID de Usuario: S-1-5-21-1229272821-2111687655-1801674531-500



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(9-6-2011 04:32:25 (GMT))

EliTriIP v7.47 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2011)

---------------------------------------------

Usuario: Owner

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-1003



Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardDrv"

No Existe el Fichero: "C:\WINDOWS\SYSTEM32\drivers\etc\Hosts"

No detectado SP3 de Windows XP



(9-6-2011 04:32:26 (GMT))

EliTriIP v7.47 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2011)

---------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500



Lista de Acciones (por Acción Directa):

No Existe el Fichero: "C:\WINDOWS\SYSTEM32\drivers\etc\Hosts"

No detectado SP3 de Windows XP



(9-6-2011 04:53:21 (GMT))

EliTriIP v7.47 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2011)

---------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9084

Nº Total de Ficheros: 79553

Nº de Ficheros Analizados: 19442

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues ya ves que se te pide que envies dos ficheros::



[b][i]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\UBABUDEP.DLL.Muestra EliStartPage v23.39[/i][/b]





recuerda:



>[b]ENVIO DE MUESTRAS Y

ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si

procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2011

[moabita123]

Hola, y gracias por responder mi problema ya envie los archivos y espero la respuesta, nuevamente gracias

pues de verdad es un problema que me sigan saliendo paginas de publicidad y no puedo update mi antivirus.

[msc hotline sat]

Cuando manaña volvamos al trabajo en SATINFO, monitorizaremos las muestras e informaremos del resultado.



Aparte vemos que te faltan parches importantes:



[i][b]No detectado SP3 de Windows XP[/b][/i]



Y que en el MBR tienes maraña...:



[b][i]Detectada Posible Infección del MBR con Técnicas Stealth.[/i][/b]





Para lo primero lanza un windowsupdate (desde el IE, Herramientas-> Windowsupdate)



y para lo segundo, arranca con el CD de instalacion, pulsa R para entrar en Consola de Recuperacion y desde alli ejecuta FIXMBR <ENTER>



Ello sobreescribirá el codigo del MBR, en el que seguro que tienes gato encerrado, pues se han detectado tecnicas stealth, y ello es propio de algun RootKit



Hecho lo indicado, reinicia normalmente y dinos si persiste la anomalia, gracias



saludos



ms, 9-6-2011

[moabita123]

Saludos, ok voy a hacer lo que me dices y comento como voy muchisimas gracias por tu ayuda, hasta luego

y buen dia.

[msc hotline sat]

Sobre la muestra recibida es un TROJAN PODJOT o HILOTI que controlamos con la versión actual del ELISTARA 23.40



http://www.zonavirus.com/noticias/2011/variante-de-trojan-podjot-aun-poco-detectado-actualmente-9-de-42.asp



Descargue la nueva version y tras probarlo, nos postea el informe resultante.



saludos



ms, 10-6-2011

[moabita123]

Hola, gracias por toda su ayuda que me brindan, pero descargue el elistar que me dicen pero no lo puedo descomprimir

me dice que es wrong password y le pongo la que me dan zonavirus manualmente y luego copy y paste y tampoco puedo

descomprimirlo, ya baje el archivo como seis veces por si era eso pero no, habra algun otro problema, gracias

por sus respuestas y ayuda.

[moabita123]

Perdon por dar tanta lata pero ya lo pude descomprimir, parece que el password esta en mayusculas o al menos

asi si pude descomprimirlo, bueno voy a analizar mi compu y comento como me fue gracias. Saludos

[msc hotline sat]

Pues que raro, no fue nuestra intención ponerlo en mayúsculas...



Y cuando la hayas probado, posteanos el informe resultante, gracias.



saludos



ms, 11-6-2011

[moabita123]

Hola, perdon por mi tardanza,ya actualice al SP3 pero lo que no he podido hacer es arrancar

con el CD de instalacion, para entrar en Consola de Recuperacion, cada vez que lo intento se me pone

pantalla azul que me dice que ay un error y tiene que apagarse que chequee mi laptop por algun virus o

problemas con nuevos hardware y los desinstale pero no he puesto nada, en definitiva no puedo sobreescribir

el archivo que me dices, hagra alguna otra forma de hacerlo? Te agradezco mucho tu ayuda y tu valioso tiempo

que dedican a responder. Por otro lado este es el reporte del EliStart que me dio ayer cuando lo pase, bueno en

espera de tu valiosa ayuda y mil gracias. Saludos desde Las Vegas



(11-6-2011 01:41:41 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: ULL2

ID de Usuario: S-1-5-21-1229272821-2111687655-1801674531-500



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(11-6-2011 01:41:54 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: Owner

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-1003



Lista de Acciones (por Acción Directa):



(11-6-2011 01:42:05 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500



Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-6-2011 01:45:36 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: ULL2

ID de Usuario: S-1-5-21-1229272821-2111687655-1801674531-500



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(11-6-2011 01:45:42 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: Owner

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-1003



Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-6-2011 01:45:48 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500



Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-6-2011 01:57:07 (GMT))

EliStartPage v23.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2011)

--------------------------------------------------

Usuario: Administrator.MOM

ID de Usuario: S-1-5-21-3205722182-3333953885-2486799785-500

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9443

Nº Total de Ficheros: 78014

Nº de Ficheros Analizados: 24976

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Ya he corregido lo del password. Debían estar activadas las mayúsculas cuando lo hice... :oops:



Y parece que ya se ha solucionado el problema, pero confirmanoslo, gracias.



saludos



ms, 12-6-2011

[moabita123]

Hola, pido disculpas por tardarme en responder, y si parece que si ya se arreglo el problema, ya no me salen otras paginas cuando navego en el internet ni me reedirecciona a otras paginas, lo unico que me pasa es que mi pc esta lentisima y mi antivirus hace tres dias que lo pase me detecto aun tracking cookies y un trojan pero espero resolverlo pasando diario mi antivirus y el malware, o al menos que tengas alguna sugerencia para mi te lo agradeceria mucho y por lo demas muchisimas

gracias por tu valiosa ayuda, por tu tiempo y esfuerzo en responderme, nuevamente muchas gracias.

[msc hotline sat]

Pues ya eliminados los malwares te queda hacer limpieza de temporales, cookies y demás, para lo cual puedes probar el ELITEMPO,



DESCARGA DE ELITEMPO

http://www.zonavirus.com/descargas/descargar-elitempo.asp



y puedes luego complementarlo lanzando una Comprobacion de Errores y Desfragmentar :



MIPC -> Boton derecho sobre unidad C: -> Propiedades -> Herramientas -> Comprobar Errores & Desfragmentar



Tras ello ya debe quedar todo lo rapido que permita su entorno, hasta que te infectes de nuevo ... :?



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 17-6-2011