por favor, ayuda a un novatillo(SOLUCIONADO)

[ojuuu]

hola a todos y gracias de antemano , weno al lio os kuento mi problema . uso avast y me sale la advertencia k tengo virus el kuel elimine o mande al baul vuelve a salir kon un nombre kasi iwal pero al realizar el analisis me da k el pc esta limpio , tambien lo analize kon kaspersky online dando el resultado k ahora les kopio, muchas gracias por la ayuda de antemano







KASPERSKY ONLINE SCANNER INFORME

viernes, 06 de junio de 2008 3:22:48

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 5/06/2008

Registros en la base antivirus: 832549





Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Carpetas

C:\



Estadísticas

Número de objeros analizados 99473

Virus encontrados 4

Objetos infectados 7 / 0

Objetos sospechosos 0

Duración del análisis 01:52:36



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado



C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\dutch.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\french.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\germany.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\italian.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\portugues_br.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\russian.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\spanish.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\Thai.lang Object is locked saltado



C:\Archivos de programa\Camfrog\Camfrog Video Chat\DataLanguagePack\turkish.lang Object is locked saltado



C:\Archivos de programa\Easy Video Downloader\VideoDownloader.exe Infectados: Backdoor.Win32.Reload.bl saltado



C:\Documents and Settings\jose francisco\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_360.wmdb Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programaKiweeToolbar1.3.118.msi/_AB18C1B2C08CDE35AFB57346A4551D9A/_255311685EC0439E9B51F19CA2877AB9 Infectados: Trojan-Downloader.Win32.Zlob.meq saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programaKiweeToolbar1.3.118.msi/_AB18C1B2C08CDE35AFB57346A4551D9A Infectados: Trojan-Downloader.Win32.Zlob.meq saltado



C:\Documents and Settings\jose francisco\Configuración local\Datos de programaKiweeToolbar1.3.118.msi Embedded: infectado - 2 saltado



C:\Documents and Settings\jose francisco\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Temp\73exmdnk_58.exe Infectados: Backdoor.Win32.Agent.jrg saltado



C:\Documents and Settings\jose francisco\Configuración local\Temp\fla98D.tmp Object is locked saltado



C:\Documents and Settings\jose francisco\Configuración local\Temp\~DFE116.tmp Object is locked saltado



C:\Documents and Settings\jose francisco\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\jose francisco\Datos de programa\Camfrog\immessagesu.dat Object is locked saltado



C:\Documents and Settings\jose francisco\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\jose francisco\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{5E526809-4795-4472-9367-42D89A2C16C3}\RP329\A0062883.exe Infectados: Backdoor.Win32.Agent.jpr saltado



C:\System Volume Information\_restore{5E526809-4795-4472-9367-42D89A2C16C3}\RP329\A0062884.exe Infectados: Backdoor.Win32.Agent.jrg saltado



C:\System Volume Information\_restore{5E526809-4795-4472-9367-42D89A2C16C3}\RP329\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado



C:\WINDOWS\system32\config\OSession.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\Temp\Perflib_Perfdata_520.dat Object is locked saltado



C:\WINDOWS\Temp\Perflib_Perfdata_790.dat Object is locked saltado



C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.









este es el analisis espero k les sirva a s eme olvidaba aunke lo mismo no sirve de nada el virus se reproduce digamos y se aloja en disko c:/documents and setting/jose francisco/config lokal/y temp



crea un ejecutable y otro archivo kon este nombre: hmunmlcl16.exe.conf



esa es toda la informacion de la k dispongo muchas gracias de nuevo

[lucl]

Bien pues haremos dos cosas, una envianos el archivo que crea , el executable para su analisis siguiendo las instrucciones que te pongo en este link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y pasate estos dos antitrojanos por si nos piden muestra para analizar y nos pegas el log que te dejaran en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp







saludos

[ojuuu]

hola de nuevo aki te kopio el resultado de elisara :

Fri Jun 06 14:40:24 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMRTSHPR.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SMARTSHOPPER\BIN\2.5.0\SMRTSHPR.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "DRHWEAX"="c:\documents and settings\jose francisco\configuración local\datos de programa\drhweax.exe drhweax"

Eliminada Class, "{064C57B4-B9EC-425F-B9B3-BCEFFEEA74D9}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Class, "{0755E4F0-3F92-4A67-AD14-E9F287F76FBC}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Class, "{137E6E5E-A205-4657-A49F-1AB865787089}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Class, "{2260D608-C844-435D-90FD-DC16CFA577F2}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Class, "{2BA1C226-EC1B-4471-A65F-D0688AC6EE3A}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Class, "{BCEB373D-A35A-4200-BD43-8586CD9DFAE7}" -> C:\Archivos de programa\SmartShopper\Bin\2.5.0\SmrtShpr.dll

Eliminada Carpeta "%Application Data%\SmartShopper"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 06 14:41:11 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\jose francisco\Escritorio\PSP\16406_CWCHEAT_0_2_2\PC\windows\lib\gtk-2.0\2.10.0\immodules\IM-CEDILLA.DLL --> Eliminado, Generic.Packed



Nº Total de Directorios: 10348

Nº Total de Ficheros: 88752

Nº de Ficheros Analizados: 18173

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Jun 06 14:57:54 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMVSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "devenv"="C:\windows\system\smvss.exe /w"

[lucl]

O no copiaste todo el infosat o te falta la mitad del analisis del elitriip en cualquier caso envianos los archivos que tienes en C, en la carpeta muestras para su analisis, siguiendo las instrucciones del link, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[ojuuu]

si si me falta el dokumento de elitrip el kual le pongo aki mismo :





Fri Jun 06 14:58:34 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jun 06 14:58:39 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\select2.exe --> Eliminado, Malware(winsys)

C:\WINDOWS\Options\Install\select2.exe --> Eliminado, Malware(winsys)



Nº Total de Directorios: 10345

Nº Total de Ficheros: 88872

Nº de Ficheros Analizados: 16458

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

ahora mismo les envio la kopia de muestras y de nuevo mucha gracias por la yuda y la rapidez

[lucl]

Pues nada envianos los archivos y ya nos comentas como va de momento tu pc sin olvidar que tenemos que analizar las muestras y darte las herramientas necesarias para la desinfeccion claro esta, saludos

[ojuuu]

de momento va bien, en kaso de k vuelva a saltar el antivirus se lo informo a lo largo de la tarde muchas gracias por la ayuda y la eficacia, jamas pense k fuera tan rapidos, un saludo: jose francisco marin

[lucl]

De momento tenemos los virus controlados pero no olvides que lo mas importante es cuando se analizen implementar su control en elistara y elitriip. Asi que de momento tranquilidad pero sin olvidar que quede pendiente esto para el lunes ya que no se si hoy les dara tiempo a analizar tus envios. Saludos

[ojuuu]

uy, otro dato por si les sirve de ayuda , el virus lo pille en una pag de internete para chatear la kual es bastante konocida ( no pongo el nombre por k no se si se puede jejejej) en kaso de k la necesitasen si kieren se las envio por mail o si no por aki



un saludo de un usuario agradecido

[Claudia34]

No en realidad no es necesario, porque la mayoria que estamos en el foro utilizamos el site advisor que nos dice si una pagina contiene virus o codigo maligno en 4 colores identificables y lo mejor de todo es que es gratuito y no consume recursos.



Saludos.

[ojuuu]

ejejejje bajando site advisor , me evitara muxos problemas d enuevo muchas gracias :D

[lucl]

No obstante por favor mandame mediante mp el nombre de la pagina en cuestion para tenerla controlada , y con el siteadvisor la verdad es que ganas mucho, saludos

[ojuuu]

te mande mp kon la pag y komo fuy infectado , el pc va de luxe inkluso un poko mas rapido jejejjee :D me imagino k ya esta solucionao mi problema por k en toda la tarde ni 1 aviso ni nada muchas gracias a todos por la ayuda, de todas formas konfirmare a lo largo del fin de semana

un saludo

[flacoroo]

ok ya que esta resuelto tu problema cerramos el post.....por si despues tienes problemas ya sabes donde estamos.....

[lucl]

De todos modos el lunes a la noche pasate las herramientas elistara y elitriip , las descargas de nuevo y listo. Como hasta el lunes no analizaran las muestras que enviaste has de esperar hasta entonces para pasarlas, ya sabes el lunes o el martes a la mañana si acaso. Y si te surge algo mas nos lo dices, saludos