Eliminar virus relevantknowledge (SOLUCIONADO)

[lila]

ya he pasado el log de arriba al foro correspondiente.
Ahora estoy pasando el activescan. Os cuento:
Se ha descargado bien, ha hecho todo bien pero ahora que esta en el ultimo paso, lleva unos diez minutos parado en 0%. Pone "analizando" y no se mueve. De todas formas, no voy a tocar nada. De esto guardo tambien el informe, verdad? Se me guarda solo o tengo que buscarlo en algun sitio?
Decidme si necesitais mas informacion.
Un saludo,
Lila.

 

[razor]

Si, dejalo analizando. En el siguiente mensaje analizo tu log de Hijack This!

Te comento que borre tu log que pusiste en el apartado de logs de HIjack This, porque es preferible en este caso tener toda la informacion junta.

Salu2

 

[lila]

Muy bien. Voy a dejar analizando el activescan, espero que avance, porque sigue en o%.
De noche os pongo los resultados.
Gracias, un saludo,
Lila.

 

[razor]

Borra esto:

O4 - Global Startup: SuperHybridEngine.lnk = ?
y esta tambien
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1DD757F-0B8D-4193-946B-AEFBEF5FA172}: NameServer = 80.58.0.33,80.58.32.97

Eliminalas. Reinicia el sistema. Vuelve a pasar el Hijack This y despues me pegas el log y me dices como va todo.

Salu2

 

[lila]

Hola de nuevo, a ver, voy por partes:
el activescan sigue en 0% y analizando. No se ha movido, asi que no se si cerrar la ventana e intentarlo de nuevo. Que hago?
Lo que tengo que eliminar... desde donde lo elimino y como? haciendo lo de regedit? Y luego, como se elimina?
Quedo a la espera de que me digais.
Un saludo,
Lila.

 

[razor]

Cierra esa ventana de analisis y vuelve a darle a analizar...

Con respecto al Hijack This. Señala en el cuadrito del principio de las entradas que te he dicho y dale al boton de Fix Checked

Salu2

 

[lila]

Razor, no se que hemos hecho pero no me abre ninguna pagina de internet!!!!!!!
Ahora estoy escribiendo desde el otro, que ya me arranca. En el portatil no puedo hacer nada de nada, no se me cargan las paginas.
En activescan le di de nuevo a analizar y empezo a analizar, pero se quedo congelado en 14, y con la barra roja. Y abajo ponia que estaba parado. Espere un rato y no se movia nada, se quedo parado como hoy por la manana, asi que lo cerre. Hice lo del hijack this, reinicie y ahora no me abre nada!!!!
Encima el escudo sigue saliendo...
Ah, me salio un cuadro diciendo:
Microsoft visual c ++ runtime library
runtime error!
program: c/programfiles/WIDCOMM/bluetooth software/bttray.exe
abnormal program termination

Pues ahora no se que puedo hacer. No puedo abrir nada y no puedo mandaros nada. Que hago???????
Ayuda, por favor,
Lila.

 

[razor]

Pues me temo que te equivocaste y borrastealgunas de estas entradas:

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Bluetooth.lnk = ?

Vuelve a arrancar el Hijack This y pincha en View the list of backups

En la siguiente pantalla, pincha en todas las entradas que aparecen y dale despues a REstore

Salu2

 

[lila]

no, no, estoy segura de que le di al 04 y al 017, los iba mirando uno a uno.
Voy a intentar lo que me dices. Ahora te digo,
Lila.

 

[lila]

Ya me va, menos mal. Pero al ir a la lista de backups, han salido los dos ficheros que me dijiste que quitara y los habia quitado bien, eran esos. No entiendo por que no me conectaban las paginas.
El bluetooth lo he comprobado y funciona.
Que susto mas grande me he llevado, ya pense que no podria mandaros mas informes con el.
Gracias!!!

 

[lila]

Quedo a la espera de lo que me digas.
Intento de nuevo el activescan?Espero que me funcione esta vez y no se bloquee,
Hasta manana. Muchas gracias,
Lila.

 

[razor]

Pues si, seria interesante comprobar que encuentra el ActiveScan... Salu2

 

[lila]

Hola de nuevo, dice que esta infectado.
Te pongo lo que me ha salido en el texto:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-02-03 13:05:54
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
05646684 Trj/Nabload.DOT Virus/Trojan No 0 Yes No c:\documents and settings\administrator\local settings\temp\mail62box6hotmail.zip[mail62box6hotmail.com]
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No c:\windows\system32\branded.scr
No f:\f\juegos\juego bolas\instalar.exe[f:\f\juegos\juego bolas\instalar.exe][winbm.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
216839 HIGH MS10-001
215938 HIGH MS09-072
215935 HIGH MS09-069
215048 HIGH MS09-065
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194860 HIGH MS08-030
;===================================================================================================================================================================================

Un saludo,
Lila.

 

[indy]

Hola!

Sigue la ruta que te indico, y elimina el archivo que te marco en rojo:

c:\documents and settings\administrator\local settings\temp\mail62box6hotmail.zip

Si se resiste, abre Malwarebytes, te vas a la pestaña mas herramientas y lo eliminas con FileASSASSIN (pulsas el botón "Ejecutar Herramienta", sigues la ruta del archivo, clic en "abrir", clic en "Si" en el mensaje de confirmación)

Hay 2 entradas sospechosas:

c:\windows\system32\branded.scr
f:\f\juegos\juego bolas\instalar.exe

Súbelos a VirusTotal para estar mas seguros:
VirusTotal - Servicio online antivirus gratuito

( Botón "Examinar"-> indicas la ruta-> botón "Enviar archivo") La subida tarda en función del tamaño del archivo. Cuando termine de subir, clic en botón de analizar. Al terminar el análisis te dará un informe, lo copias y lo pegas en el próximo mensaje. Subes primero uno y luego el otro.

Lo que si te recomiendo es que lances un "Windows update", te faltan muchas actualizaciones de seguridad, para ello:

Clic derecho en "Mi PC" -> "Propiedades" -> "Actualizaciones automáticas" -> en la parte inferior de la ventana encontrarás el enlace a "Windows update"

Un saludo!!!

 

[lila]

Gracias, Indy, asi lo hare, ire paso por paso, porque viendolo asi parece super complicado.
Una cosa queria preguntarte, no se si sera una tonteria lo que te voy a preguntar, lo que me has puesto en rojo, eso es lo unico que tengo que borrar o todo?Quiero decir, por ejemplo, c:\windows\system32\branded.scr
f:\f\juegos\juego bolas\instalar.exe,
solo borro lo que esta en rojo o desde donde pone c:/ y f:/ ? yo creo que solo tengo que borrar lo que esta en rojo, pero prefiero cerciorarme...:2:
voy a ir paso por paso,
Muchisimas gracias por todo,
Lila.

 

[indy]

Hola lila!

Efectívamente, sólo lo que está en rojo, de momento elimina sólo el primero que te indico, los otros los subes a VirusTotal, ya verás que no es tan complicado.

Saludos!!!

 

[razor]

Hola lila:

elimina el archivo que te marco en rojo

Solo lo que te pone en rojo, bueno tampoco te dejaria borrar el resto.

Ahora entiendo el porque de cosas que pasan en tu pc. Un consejo de amigo: es muy importante tener SIEMPRE tu sistema operativo actualizado, fijate todos los updates que te faltan. Eso no dejes que pase nunca por favor.

Bueno, al tema, borra lo que muy bien te ha indicado indy. Nos cuentas.

 

[lila]

Gracias, chicos, voy a ver si me sale.
Razor, muchisimas gracias por ese consejo de amigo. Lo cojo y no se me olvidara. La verdad es que esas pequenas cosas que parecen tan obvias y faciles,me da verguenza decirlo, pero yo no las sabia...
Lila.

 

[lila]

Chicos, tengo un problema, no encuentro el primer archivo que me pone Indy. He buscado en c/ y desde administrator ya no hay ninguna carpeta que se llame "local settings".
Me aparecen, justo dentro de administrator:
_ir_sf7_temp_0
7zS2005.tmp
7zS200D.tmp
Start Menu
Favorites
Bluetooth Software
My Documents
DoctorWeb
Desktop

He buscado lo ultimo en search y tampoco. He abierto el Malwarebytes y desde ahi tampoco me aparece. No lo entiendo, y no he hecho nada.

Las dos entradas sospechosas que me dices, esas las hago directamente desde lo de virus total, no lo hago con Malwarebytes, verdad?
Hago ahora esto de las dos entradas sospechosas o espero a que me contesteis de lo anterior? es que no se muy bien si hay que seguir unos pasos uno detras de otro o no.

Lila.

Edito: he mirado esas dos entradas sospechosas y una dice que es un salvapantallas del 2006 y yo tengo el ordenador desde hace poco. No lo entiendo. Y el segundo es un juego que me habia bajado hace tiempo, pero que no lo tengo instalado.
Ya he aprendido a hacer captura de pantalla, lo digo por si necesitais que os mande un pantallazo.Lo que no se es meterlo en el mensaje... me dice que ponga la url, no la ubicacion.
Quedo a la espera de vuestras respuestas.
Lila.

Hola!

Sigue la ruta que te indico, y elimina el archivo que te marco en rojo:

c:\documents and settings\administrator\local settings\temp\mail62box6hotmail.zip

Si se resiste, abre Malwarebytes, te vas a la pestaña mas herramientas y lo eliminas con FileASSASSIN (pulsas el botón "Ejecutar Herramienta", sigues la ruta del archivo, clic en "abrir", clic en "Si" en el mensaje de confirmación)




Hay 2 entradas sospechosas:

c:\windows\system32\branded.scr
f:\f\juegos\juego bolas\instalar.exe

Súbelos a VirusTotal para estar mas seguros:
VirusTotal - Servicio online antivirus gratuito

( Botón "Examinar"-> indicas la ruta-> botón "Enviar archivo") La subida tarda en función del tamaño del archivo. Cuando termine de subir, clic en botón de analizar. Al terminar el análisis te dará un informe, lo copias y lo pegas en el próximo mensaje. Subes primero uno y luego el otro.

Lo que si te recomiendo es que lances un "Windows update", te faltan muchas actualizaciones de seguridad, para ello:

Clic derecho en "Mi PC" -> "Propiedades" -> "Actualizaciones automáticas" -> en la parte inferior de la ventana encontrarás el enlace a "Windows update"

Un saludo!!!

 

[indy]

Hola!

Vamos a mostrar los archivos y carpetas ocultos/as: (Enlace)

Windows XP

1. Haga doble clic en el icono Mi PC en el escritorio de Windows.
2. Haga clic en el menú Herramientas > Opciones de carpeta.
3. Haga clic en la pestaña Ver.
4. En la carpeta "Archivos y carpetas ocultos" seleccione "Mostrar todos los archivos y carpetas ocultos".
5. Desmarque la opción "Ocultar extensiones de archivo para tipos de archivo conocidos".
6. Desmarque la opción "Ocultar archivos protegidos del sistema operativo".
7. Haga clic en Aplicar, y después en Aceptar.

Prueba ahora a buscar el archivo. Una vez que termines invierte el proceso para dejarlo como estaba (Nota: es posible que ese archivo ya no esté)

he mirado esas dos entradas sospechosas y una dice que es un salvapantallas del 2006 y yo tengo el ordenador desde hace poco. No lo entiendo. Y el segundo es un juego que me habia bajado hace tiempo, pero que no lo tengo instalado.

Pues súbelas a VirusTotal, y si en el informe salen infectadas las eliminamos, y si no salen infectadas pues ya quedaría a tu criterio el eliminarlas o no.

*No importa el orden, puedes realizar primero la eliminación del archivo o subir los sospechosos a VirusTotal, como te apetezca*

Saludos!!!