Ayuda con virus porfavor !!!

[Sergiocastro]

Hola, soy nuevo en este foro, el dia de ayer al realizar un escaneo con kaspersky online me apareció la existencia de un virus en el pc. Ojala me puedan ayudar a eliminarlo, el detalle del escaneo es el siguiente:



KASPERSKY ONLINE SCANNER INFORME

lunes, 24 de noviembre de 2008 15:24:41

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 24/11/2008

Registros en la base antivirus: 1408377

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

C:\

D:\



Estadísticas:

Número de objeros analizados: 41283

Virus encontrados: 1

Objetos infectados: 2 / 0

Objetos sospechosos: 0

Duración del análisis: 00:48:55



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Save\ffext.mod/{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}/components/whenu_ff.dll Infectados: not-a-virus:WebToolbar.Win32.WhenU.z saltado

C:\Archivos de programa\Save\ffext.mod CAB: infectado - 1 saltado

C:\Documents and Settings\Alessandro\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Historial\History.IE5\MSHist012008112420081125\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Alessandro\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{24837BA9-962E-4154-B8A3-A08F4CE2C890}\RP693\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.



Porfavor ayudemne a desaserme de el.

Muchas gracias

[msc hotline sat]

Pues vea que tiene estas dos entradas viricas:



C:\Archivos de programa\Save\ffext.mod/{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}/components/whenu_ff.dll Infectados: not-a-virus:WebToolbar.Win32.WhenU.z saltado



C:\Archivos de programa\Save\ffext.mod CAB: infectado - 1 saltado



Descargue el ELISTARA y tras probarlo posteenos el resultado:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y por si este .CAB se descargara en un DPF, posteenos el log del HJT y le indicaremos claves a eliminar si es el caso:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 25-11-2008

[Sergiocastro]

Hola msc, antes que todo gracias por tu ayuda, realice lo que me dijiste respecto al ELISTARA, y esto es lo que me arrojo el analisis:





Wed Nov 26 10:18:48 2008

EliStartPage v17.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\Save"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Nov 26 10:21:54 2008

EliStartPage v17.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 26 10:24:21 2008

EliStartPage v17.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Nov 26 10:25:43 2008

EliStartPage v17.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4003

Nº Total de Ficheros: 35825

Nº de Ficheros Analizados: 9928

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues elimina este fichero manualmente:



C:\Archivos de programa\Save\ffext.mod



y por otro lado vemos:


[quote]EliStartPage v17.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP[/quote]
Por ello lanza un windowsupdate e instala el SP3 y posteriores



saludos



ms, 26-12-2008

[Sergiocastro]

Muchas gracias por tu ayuda MSC, me queda una sola duda, para eliminarlo manualmente tengo que desactivar restaurar sitema o no es necesario??



Adicionalmente, antes de ver tu respuesta, escanie el pc con el panda antivirus, este es el reporte que me arrojo por si es de alguna utilidad:


[code];***********************************************************************************************************************************************************************************
ANALYSIS: 2008-11-26 14:38:49
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AVG Anti-Virus Free 8.0 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\whenusavemsg
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Alessandro\Cookies\alessandro@doubleclick[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Alessandro\Cookies\alessandro@ad.yieldmanager[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Alessandro\Cookies\alessandro@weborama[1].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Alessandro\Cookies\alessandro@overture[1].txt
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Alessandro\Cookies\alessandro@adrevolver[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182048 HIGH MS07-069
182046 HIGH MS07-067
182043 HIGH MS07-064
179553 HIGH MS07-061
176382 HIGH MS07-057
176383 HIGH MS07-058
170911 HIGH MS07-050
170907 HIGH MS07-046
170906 HIGH MS07-045
170904 HIGH MS07-043
164915 HIGH MS07-035
164913 HIGH MS07-033
164911 HIGH MS07-031
120825 MEDIUM MS06-032
120823 MEDIUM MS06-030
120815 HIGH MS06-022
117384 MEDIUM MS06-018
114666 HIGH MS06-015
108743 MEDIUM MS06-007
;===================================================================================================================================================================================[/code]

Nuevamente te agradezco por tu ayuda

[msc hotline sat]

Pues aparte de las cookies sin impprtancia, hay esta deteccion...:



00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\whenusavemsg





Arranca en modo seguro y lanza tu antivirus, que asi debería poder eliminarlo



Lo de la restauracion de sistema es olo para la carpeta RESTORE, y no aparece nada al respecto



saludos



ms, 26-11-2008

[Sergiocastro]

Hola de nuevo, busque y no pude encontrar el fichero C:\Archivos de programa\Save\ffext.mod, que había arrojado el kaspersky, incluso buscando en archivo y carpetas ocultas, que se puede hacer en ese caso??



Muchas gracias

[msc hotline sat]

Como que posiblemente sea el mismo que te detecta el kaspersky, y que no has localizado, prueba el ELIMOVER.EXE y le insertas esta ruta y fichero:



C:\Archivos de programa\Save\ffext.mod CAB



marca la casilla donde dice Renombrar el fichero original a .VIR



y con ello no solo te copiará una muestra en C:\muestras, para que nos lo puedas enviar, sino que ademas te renombrará la extension del fichero a .VIR, para que quede inoperativo





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



saludos



ms, 26-11-2008

[Sergiocastro]

Hola msc, la verdad que al parecer se solucionó el problema, kaspersky me arroja limpio.

Muchas gracias por tu ayuda y tu tiempo para responderme



Saludos

[msc hotline sat]

sI, PERO ENVIANOS EL FICHERO SOLICITADO, PARA ANALIZARLO Y ASI PODER ECONTROLARLO Y ELIMINAR LOS RESTOS



saludos



sm, 28-11-2008

[Sergiocastro]

Pucha perdona por molestarte nuevamente, pero ahora me apareció lo siguiente:





-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 02 de diciembre de 2008 19:03:15

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 2/12/2008

Registros en la base antivirus: 1431966

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

C:\

D:\



Estadísticas:

Número de objeros analizados: 42413

Virus encontrados: 1

Objetos infectados: 1 / 0

Objetos sospechosos: 0

Duración del análisis: 00:44:34



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\Alessandro\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Configuración local\Historial\History.IE5\MSHist012008120220081203\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Alessandro\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Alessandro\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsrm.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{24837BA9-962E-4154-B8A3-A08F4CE2C890}\RP701\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\av.dat Infectados: not-a-virus:AdWare.Win32.BHO.ejm saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Es un .DAT... :



C:\WINDOWS\system32\av.dat



renombra su extension a .VIR; para dejarlo aparcado, y envianoslo como muestra para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 3-12-2008

[Sergiocastro]

Ok, tratare de realizar lo que me dijiste y te aviso como me va

muchas gracias

[msc hotline sat]

Tras renombrarlo como hemos indicado, y reinbiciar, indicanos si persiste alguna anomalia



saludos



ms, 4-11-2008