AL PARECER TENGO UN VIRUS

[carloschile]

PC PENTIUM 4 1.7 G, 512 MB, WIN 2000,

AL PARECER TENGO UN VIRUS indetectable: En la carpeta de DOCUMENT AND SETING aparece un logo que es como un programita que se llama RUN ME, lo borro pero vuelve a aparecer, lo borro desde el editor de registros y se vuelve a colocar ahi, se ha reseteado siempre y ahora estoy probando con spyreware el TREND MICRO que es por internet, ademas tambien realizae limpieza con el antivirus de mi pc el simantec pero no logro borrarlo, el problema es que me arroja muchos mensajes de que esta ejecutando o tratando de instalar algo, con el mensaje "no se puede abrir "C:\windows\temp\Actfile.exe"", verifico la ejecucion con el administrador de tareas de windows y aprece ejecutando el Run Me.exe y muchos rundll.exe.



Ojala puendan ayudar y si quieren mas datos solo escriban, muchas gracias.

[msc hotline sat]

Pues veamos lo que nos detecta este AV ONLINE:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



y además de dicho informe, posteanos el log del HJT, para adelantar informacion, ya que por lo que dices que has hecho y aun persiste, promete ser peludo...



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





Una vez hayas posteado los dos logs, seguiremos



saludos



ms, 17-04-2008

[carloschile]

ESTE ES EL RESULTADO DE LA DETECCION DE VIRUS DESDE INTERNET



KASPERSKY ONLINE SCANNER INFORME

jueves, 17 de abril de 2008 16:46:05

Sistema operativo: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 17/04/2008

Registros en la base antivirus: 638086





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\



Estadísticas

Número de objeros analizados 109888

Virus encontrados 7

Objetos infectados 20 / 0

Objetos sospechosos 0

Duración del análisis 05:53:17



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked saltado



C:\Archivos de programa\Symantec AntiVirus\SAVRT\0793NAV~.TMP Object is locked saltado



C:\Archivos de programa\Symantec AntiVirus\SAVRT\0960NAV~.TMP Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\dogbaitmealkeep\Dvd Army.exe Infectados: Trojan.Win32.Obfuscated.en saltado



C:\Documents and Settings\All Users\Datos de programa\dogbaitmealkeep\errorboob.exe Infectados: Trojan.Win32.Obfuscated.en saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500000\47F2AC9E.VBN Infectados: Trojan-Downloader.VBS.Agent.u saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500001\47F2B184.VBN Infectados: Trojan-Downloader.JS.Agent.fq saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500002\47F2B1B3.VBN Infectados: Exploit.Win32.IMG-ANI.ak saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500003\47F2B1DC.VBN Infectados: Exploit.Win32.IMG-ANI.ak saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05600000\45F9E96F.VBN Infectados: P2P-Worm.Win32.VB.dw saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05700000\47753568.VBN Infectados: Trojan-Downloader.JS.Agent.kd saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN/Setup.exe Infectados: P2P-Worm.Win32.VB.dw saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN ZIP: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN CryptZ: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN/Setup.exe Infectados: P2P-Worm.Win32.VB.dw saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN ZIP: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN CryptZ: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN/HiPointInstallShieldRT.class Infectados: Trojan-Downloader.Java.OpenConnection.ap saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN ZIP: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN CryptZ: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN/HiPointInstallShieldRT.class Infectados: Trojan-Downloader.Java.OpenConnection.ap saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN ZIP: infectado - 1 saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN CryptZ: infectado - 1 saltado



C:\Documents and Settings\cbarra\Datos de programa\Microsoft\Outlook\correo respaldo\activo.pst Object is locked saltado



C:\Documents and Settings\cbarra\Datos de programa\Microsoft\Outlook\correo respaldo\autoarchivo.pst Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Datos de programa\Microsoft\Outlook\archive.pst Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Historial\History.IE5\MSHist012008041720080418\index.dat Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF19FE.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF54F5.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF5552.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF74C.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF754.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF75B.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Configuración local\Temp\~DF787C.tmp Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Datos de programa\Microsoft\Outlook\Outlook.NK2 Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Datos de programa\Microsoft\Outlook\Outlook.srs Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\cbarra.CBARRA\ntuser.dat.LOG Object is locked saltado



C:\WINNT\CSC\00000001 Object is locked saltado



C:\WINNT\Debug\ipsecpa.log Object is locked saltado



C:\WINNT\Debug\oakley.log Object is locked saltado



C:\WINNT\Debug\PASSWD.LOG Object is locked saltado







Espero me puedan ayudar muchas gracias.

[msc hotline sat]

Pues envianos estos dos ficheros para analizar:



C:\Documents and Settings\All Users\Datos de programa\dogbaitmealkeep\Dvd Army.exe



C:\Documents and Settings\All Users\Datos de programa\dogbaitmealkeep\errorboob.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y tienes todos estos en cuarentena, eliminalos para que ya no aparezcan mas:



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500000\47F2AC9E.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500001\47F2B184.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500002\47F2B1B3.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05500003\47F2B1DC.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05600000\45F9E96F.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05700000\47753568.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN/Setup.exe



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00000.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN/Setup.exe



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07C00001.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN/HiPointInstallShieldRT.class



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040001.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN/HiPointInstallShieldRT.class



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN



C:\Documents and Settings\All Users\Datos de programa\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09040002.VBN



Tras recibir los ficheros indicados, los analizaremos e implementaremos su control y eliminaicon en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-04-2008

[mikmatcr]

Y aparte de lo que te dice msc, nose si me equivoco pero tu versión de symantec es la 7.5 :?: :?:



Si es asi te recomiendo que actualices tu versión, pues ya van por la versión 11(Endpoint). Y apartir de la vesión 9 para atras de Symantec las capacidades de eliminar virus se redujeron bastantes en comparación de la versión 10 y 11.



Saludos!!!!

[msc hotline sat]

Y ya que has salido por aquií, mikmatcr, ya hemos subido la nueva version del ELISTARA 16.12 que controla el nuevo ONLINE GAMES que has enviado, asi que puedes probarla...



Te lo digo porque como que los viernes tarde SATINFO hace rotacion de personal a media plantilla, hemos terminado las utilidades esta mañana, atipicamente...



Ya nos contarás



saludos



ms, 18-04-2008

[carloschile]

desde que me aparecio este virus ya no ha sido igual nada, tengo el programa simantec actualizado (10.1.3.394) es la verison si no me equivoco se va ctualizando en linea, no se si esta bien. ahora he bajado un par de antivirus como el KASPERSKY PRO pero no m detecto nada, luego de resetear anoche el PC al iniciar mi secion encontro un monton de virus y archivos infectados el simantec, me da la impresion que es un virus troyano y un virus gusano un downloader y un w32.alcra.f , me ha infectado muchos archivos creo, espero que las muestras que le mande les hayan servido de algo la verdad al parecer mi PC esta sucumbiendo ...

[msc hotline sat]

Pues si envió las muestras al respecto, pruebe la ultima version del ELISTARA y tras ello nos postea el contenido de c:\infosat.txt, gracias



Y recuerda que si existe un downloader, descargará cada dia nuevos troyanos, asi que si persiste la deteccion de nuevas variantes, piensa que puede haber algun downloader no controlado, por lo que si es el caso, posteanos log del HJT, junto con el infosat que hemos indicado:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 22-04-2008

[mikmatcr]

Ok, te cuento que Symantec en este momento esta tirando un mensaje de que ha encontrado un downloader, pero en verdad lo que hay es un amvo, te lo digo por experiencia. Aqui usamos el Symantec en las aulas y cada vez que encendiamos nos salia el mensaje de que había encontrado un downloader y al pasar el Elistara nos ha borrado varios virus de los famosos Online Games.



Manda las muestras si es que el Elistara te las pidio.



Edito: Claro msc, si me sirvio, disculpa que no mande los infosat.txt pero tu ya sabes porque es que no puedo.



Gracias!!!

[flacoroo]

[quote="carloschile"]desde que me aparecio este virus ya no ha sido igual nada, tengo el programa simantec actualizado (10.1.3.394) es la verison si no me equivoco se va ctualizando en linea, no se si esta bien. ahora he bajado un par de antivirus como el KASPERSKY PRO pero no m detecto nada, luego de resetear anoche el PC al iniciar mi secion encontro un monton de virus y archivos infectados el simantec, me da la impresion que es un virus troyano y un virus gusano un downloader y un w32.alcra.f , me ha infectado muchos archivos creo, espero que las muestras que le mande les hayan servido de algo la verdad al parecer mi PC esta sucumbiendo ...[/quote]

te recomiendo que tengas solo un antivirus residentes (simantec ó ahora he bajado un par de antivirus como el KASPERSKY PRO )si no colisionaran ambos y se realentizara tu compu....



y haz lo siguiente: descargate el [url=http://www.zonavirus.com/descargas/sproces.asp]SPROCES (herramienta de investigación)[/url] y posteanos el C:SPROCLOG.TXT que te generará el SPROCES.

[msc hotline sat]

Bueno, en este caso que no se trata de FAKE ALERTS sirve igual el HJT que le indicaba como el SPROCES, pero ya que lo indica flacoroo, prueba el SPROCES, que he subido hoy una nueva version para soslayar un problema con un partche de microsoft (KB944653) que crea un fichero con el que se provocaba un desbordamiento de buffer, por haber utilizado una cadena demasiado larga en uno de sus apartados, lo cual hemos solucionado !



Y a ti que te gusta probar cosas, flacoroo, bajate esta nueva version del SPROCES y pruebala, que faena nos ha dado el dichoso parche de microsoft !



saludos



ms, 22-04-2008

[carloschile]

Hola, pregunto "Para que es el SPROCESS" es un antivirus ?

ahora el simantec tiene activada la opcion de encontrar de inmediato algun problema, y a cada rato me arroja el mensaje de que encuentra un downloader pero los nombres van cambiando ejemplo APQ105.tmp AQ5.tmp, apq10d.tmp y asi muchisimos, deben haber unos 800 a la fecha por poco.y tambien otros bichos com el w32.alcra....,

Instalae otro antivirus, no se como sera es el PC TOOLS me encontro virus en los archivos que les envie ("a proposito de eso, como les fue con las muestras que les envie a su correo, se los mande desde mi correo corporativo con el nombre de VIRUS carloschile") .

Espero sus respuestos para seguir con esto antes de que ya no se pueda mas...

[msc hotline sat]

El SPROCES Es una herramienta de investigación, similar al HJT pero que llega mas a fondo.



Las muestras debe enviarlas con password VIRUS, como se le indica en :





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Sino son interceptadas por los antivirus de los servidores y no nos llegan.



Vuelvalo a hacer como le indicamos, y como asunto ponga su nick en el foro, "carloschile"



saludos



ms, 24.04.2008