Tengo virus win512.tmp.exe en carpeta windows temp (SOLVED)

[chapi300]

Hola!



Bua, esta es la primera vez que me pega tan fiero



La cuestion empezo cuando conectado por ADSL se me desconecta solo y empieza a marcar numeros con el modem dial up motorola que tengo para usar de fax. La conexion se genero sola en conexiones de red y si la borro vuelve. En el directorio windows temp tengo estos archivos sospechosos:



win23E.tmp.exe

win30.tmp.exe



etcetera que los borro y se vuelven



Lo ultimo que me pasa es que no veo en panel de control-sistema, la lengueta de restaurar sistema.



Que hago?

[chapi300]

Tengo en Win XP unnatended edition que me baje del bittorrent

[msc hotline sat]

Pues envianos el fichero madre,



C:\WINDOWS\TEMP\win512.tmp.exe



y estos que dices tener:



win23E.tmp.exe

win30.tmp.exe



Los analizaremos y trataremos de implementar su control y eliminacion en nuestras utilidades.



Otra cosa es lo que comentas del sistema operativo. Si no es legal de Microsoft no damos soporte en este foro, asi que solo vamos a tratar el virus, nada relativo a este sistema.



saludos



ms, 4-09-2007

[chapi300]

Por aca no se pueden adjuntar archivos .exe como los mando?



Tengo el hijackthis y el spybot, me sirve de algo?

[msc hotline sat]

Como indicamos al principio de este mismo apartado:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 4-09-2007

[chapi300]

Ya mande el mail segun el apartado. En formato rar y con el pass: virus.



Muchas gracias

[chapi300]

Ayer le pase el Kaspersky on-line y el log fue el siguiente:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 04 de septiembre de 2007 4:30:47

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 4/09/2007

Registros en la base antivirus: 403381

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Áreas críticas:

C:\WINDOWS

C:\Windows\Temp\



Estadísticas:

Número de objeros analizados: 8808

Virus encontrados: 3

Objetos infectados: 3 / 0

Objetos sospechosos: 0

Duración del análisis: 00:09:40



Bombre del objeto infectado / Nombre del virus / Última acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\ModemLog_Motorola SM56 Speakerphone Modem.txt Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked saltado

C:\WINDOWS\system32\cmdow.exe Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\fccbbbb.dll Infectados: Trojan.Win32.Agent.bew saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\winhld32.dll Infectados: Trojan.Win32.Dialer.qn saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Perfecto, en cuanto la hayamos analizado, procederemos a controlarla con nuestras utilidades, de lo cual informaremos



saludos



ms, 4-09-2007

[msc hotline sat]

Analizadas la muestras resultan ser DIaler que pasamos a controlar con el ELISTARA de hoy 14.59



A partir de las 19 h GMT descargalo y pruebalo





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 6-09-2007

[chapi300]

El mismo dia le hice un escaneo completo con el AVG actualizado y me detecto dos archivos con virus que eran dialers que en mi opinion eran los que generaban esos archivos que les he mandado.

Luego de eso la PC empezo a funcionar correctamente.

Luego le pasé la version gratuita del kaspersky por las dudas y este antivirus eliminó el ffccbbbb.dll que era aparentemente spyware.

Una cosa que me llamo la atencion es que el firewall (pc tools firewall plus y mientras estaba teniendo el o los virus) aparentemente detectó un cambio en el explorer.exe, archivo que por experiencia mía debe tener acceso a internet para poder ingresar a la misma. Lo que sugiero es que quizas se infecto ese archivo con algun virus, es posible esto?

Es por esto que le di acceso a internet al explorer.exe ya que sino no hubiera podido sacarme de encima el virus.



Bueno aca les mando el log del elistara



Muchas gracias por la ayuda y espero su respuesta





Fri Sep 07 09:31:28 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 07 09:31:43 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\PC Tools Firewall Plus\HELPER.DLL --> Eliminado, PWS-WoW

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

[msc hotline sat]

Bueno el navegador de microsoft es iexplore.exe, el explorer.exe es el entorno grafico de windows, no dicho navegador



Pero bueno, al final pareec que todo se ha solucionado por lo que damos por solucionado el <Tema y procedemos a cerralrlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 7-09-2007