Posible infección de virus o spyware dificil de detectar

[hpcuser]

Hola, recientemente he recibido consejo de parte de ustedes con el problema que detallo en la linea de asunto. Les envié el log del HJT y me hicieron una recomendación, la cual agradezco.

Sin embargo, me han continuado ocurriendo cosas extrañas al momento de navegar por internet, como por ejemplo, cuando escribo diferentes paginas en la barra de direcciones, sale el resultado de busqueda de la pagina en el Google, a pesar de no haber buscado intencionalmente la pagina alli. Otras veces sencillamente despues de escribir el nombre del website en la barra de direcciones y de esperar un buen tiempo, da en repetidas oportunidades un mensaje de error como si el servidor no estuviese funcionando bien y luego doy clic en el boton actualizar (refresh) y a la segunda vez si sale la pagina solicitada. Les envio el log del antivirus/antispyware que uso para que por favor me digan si hay algo raro y si es necesario que formatee el disco duro. Muchas Gracias.



*************************************

Registro de sucesos

NOD32 Scanner versión 2531 (20070915) NT

Comprobación CRC del archivo NOD32.EXE: estado correcto

La memoria operativa está correcta.

Fecha: 15.9.2007 hora: 12:00:20

Discos, carpetas y archivos analizados: C:; D:; E:

C:\hiberfil.sys - Error abriendo archivo (El archivo está bloqueado) [4]

C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\John Diaz\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\John Diaz\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\John Diaz\Configuración local\Datos de programa\Microsoft\Messenger\jdiazdepaoli@hotmail.com\SharingMetadata\willysemin@hotmail.com\DFSR\Staging\CS{FB800422-A9A7-6BF9-86EA-FF4BF98D86CC}\01\10-{FB800422-A9A7-6BF9-86EA-FF4BF98D86CC}-v1-{F37C8688-95E7-4065-B568-2E01B717F490}-v10-Downloaded.frx - Error abriendo archivo [4]

C:\Documents and Settings\John Diaz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\John Diaz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\RECYCLER\S-1-5-21-1547161642-1202660629-1343024091-1003\Dc4.rar »RAR »backup-20070914-000824-343 - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.

C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]

C:\System Volume Information\_restore{5081309C-F34D-45A3-A19C-07744C0DDCD1}\RP155\A0017161.rbf »ZIP »amsdata.dat - Error - el archivo está protegido por contraseña

C:\System Volume Information\_restore{5081309C-F34D-45A3-A19C-07744C0DDCD1}\RP201\A0023946.exe »NSIS »libvlc.dll - Ha ocurrido un error mientras el archivo comprimido era leído

C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERIOEX.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PAV.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PER.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PAVDECOD.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PAVMAIL.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PAVXCH32.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PER.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PAV.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERAV.HLP - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERCFG.CPL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERVAC.VXD - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERTSK.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERUPD.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERVAC.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERVAC.SYS - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERSHELL.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »POPEMAIL.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »SPLASH.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »TSKWIZAR.EXE - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »WEBCTRL.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERIOWNT.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERIOW95.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERSHLEX.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »DZIP32.DLL - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »PERIOEX.SYS - Error - el archivo está protegido por contraseña

D:\Archivos de programa\Perav\INSTALAR.BIN »ZIP »LEEME.DOC - Error - el archivo está protegido por contraseña

D:\d\UTIL\SK\SKNEW.ZIP »ZIP »SK.COM - Valor CRC incorrecto. El archivo puede estar dañado

D:\d\UTIL\SK\SKNEW.ZIP »ZIP »SK.HLP - Valor CRC incorrecto. El archivo puede estar dañado

D:\d\UTIL\SK\SKOLD.ZIP »ZIP »SKPLUS.EXE - Valor CRC incorrecto. El archivo puede estar dañado

D:\d\UTIL\SK\NEW\SKNEW.ZIP »ZIP »SK.COM - Valor CRC incorrecto. El archivo puede estar dañado

D:\d\UTIL\SK\NEW\SKNEW.ZIP »ZIP »SK.HLP - Valor CRC incorrecto. El archivo puede estar dañado

E:\JOHNNY\ZIPFILES\InfSetup[1].zip »ZIP »Infoma1.CAB »CAB »ASYCFILT.DLL - No es posible hallar el siguiente archivo o volumen comprimido

Cantidad de archivos analizados: 166694

Cantidad de virus detectados: 0

Hora de finalización: 12:45:43 . Tiempo total de análisis: 2723 seg (00:45:23)

Notas:

[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

[msc hotline sat]

Pruebe estas utilidades y posteenos el contenido del c:\infosat.txt resultante:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 15-09-2007

[hpcuser]

Estimados sres. msc hotline sat , gracias por su ayuda y a continuacion posteo el infosat.txt indicado en el asunto:



Sat Sep 15 14:36:51 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Sat Sep 15 14:37:14 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\zip and exe files\setup10[1].0.1476.1098_web_en.exe --> Eliminado, Bifrose (dropper)



Sat Sep 15 14:42:46 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sat Sep 15 14:43:23 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sat Sep 15 14:48:51 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE



Sat Sep 15 14:49:47 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\PDF reDirect\OSSMTP.DLL --> Eliminado, Motor.OSSMTP(smtp)

**********************************************

[Claudia34]

Te falta un parche del año 2006, realiza un windows update. Saludos.

[msc hotline sat]

Pues nada a la vista con AV y utilidades.



Posteanos log del HJT pasado en modo seguro, a ver si vemos algo con ello:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 16-09-2007

[msc hotline sat]

Me informan que se han recibido logs de texto, los cuales se envian a la papelera, pues no pueden monitorizarse.



Los ficheros de texto no deben enviarse para analizar a SATINFO, sino postearlos en el foro



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms,