Máquina infectada [Solucionado]

Foro referente al sistema operativo Windows 7
silvio_pasot
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 23 Dic 2010, 00:18
Contactar:

Máquina infectada [Solucionado]

Mensajepor silvio_pasot » 23 Dic 2010, 00:22

Tengo un grave problema. Se me ha infectado la máquina con algún tipo de software que me lentifica notablemente la máquina, y me abre automáticamente ventanas del Internet Explorer con publicidad. Me ha desactivado el Centro de Seguridad de Windows y no me permite volver a activarlo. Me ha desactivado el modo protegido del navegador y tampoco hay forma de activarlo. He intentado restaurar el sistema a un punto anterior pero no me lo permite.

Mi antivirus (Smart Security 4) no lo detecta. He hecho un análisis con Malwarebytes Anti-Malware y encontró algunas infecciones que supuestamente eliminó, pero todo sigue igual. Acá va el registro:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versión de la Base de Datos: 5363

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22/12/2010 19:45:57
mbam-log-2010-12-22 (19-45-57).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|)
Objetos examinados: 287727
Tiempo transcurrido: 2 hora(s), 52 minuto(s), 29 segundo(s)

Procesos en Memoria Infectados: 2
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 12

Procesos en Memoria Infectados:
c:\Windows\Kpitab.exe (Trojan.FraudPack) -> 2992 -> Unloaded process successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmr.exe (Rootkit.Agent) -> 5880 -> Unloaded process successfully.

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Rootkit.Agent) -> Value: JP595IR86O -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
c:\Windows\Kpitab.exe (Trojan.FraudPack) -> Delete on reboot.
c:\Users\Silvio\AppData\Local\Temp\Kmr.exe (Rootkit.Agent) -> Delete on reboot.
c:\Users\Silvio\AppData\Local\Temp\Km0.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmt.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmu.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmw.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmx.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Silvio\AppData\Local\Temp\Kmz.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Windows\Kpitaa.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantin


Acá les dejo el log del HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:57, on 22/12/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\SUPERAntiSpyware\f87d1965-2aa3-449e-bef3-29728187d05f.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll
O3 - Toolbar: @C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Silvio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF5BA~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 8019 bytes

Agradeceré muchísimo si me pueden ayudar. Saludos.

Silvio

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Máquina infectada

Mensajepor helheim » 23 Dic 2010, 00:32

Activa MOSTRAR ARCHIVOS OCULTOS y realiza los siguientes pasos (no te saltes ninguno):

1) Desactivar "Restaurar Sistema" (En Windows 7).
2) Descarga, instala y actualiza: Spywareblaster, SUPERAntiSpyware Free Edition, Spybot - Search & Destroy y Malwarebytes Anti-Malware.
3) Reinicia en " Modo Seguro" (Pulsando varias veces F8 al iniciar o reinicar el ordenador hasta que te aparezca la ventana de inicio avanzado).
4) Pasa Spybot - Search & Destroy MANUAL, SUPERAntiSpyware Free Edition (MANUAL) (ANÁLISIS COMPLETO), Malwarebytes Anti-Malware (MANUAL) (ANÁLISIS COMPLETO) e inmuniza tu navegador con el Spywareblaster (MANUAL).
5) Limpia tanto los archivos temporales como el registro con Ccleaner.
6) Reinicia en "Modo Normal".
7) Activa "Restaurar Sistema" y crea un Punto de Restauración (En Windows 7) si ves que el ordenador quedó desinfectado.

Péganos el reporte del Malwarebytes Anti-Malware (tras realizar un ESCANEO COMPLETO recuerda enviar todo lo que encuentre a la cuarentena ANTES DE COPIAR EL LOG).

Por último vuelve a desactivar “Mostrar Archivos Ocultos” (sería el proceso contrario al manual que te puse antes).
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

silvio_pasot
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 23 Dic 2010, 00:18
Contactar:

Re: Máquina infectada

Mensajepor silvio_pasot » 23 Dic 2010, 07:50

He seguido tus pasos. El Spybot y el SUPERAntispyware encontraron unas cuantas infecciones, pero no así el Malwarebytes Anti-Malware.

Acá va el log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versión de la Base de Datos: 5363

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

22/12/2010 23:07:55
mbam-log-2010-12-22 (23-07-55).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|)
Objetos examinados: 285835
Tiempo transcurrido: 41 minuto(s), 34 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
(No se han detectado elementos maliciosos)


Dime los pasos a seguir o si el problema ya está solucionado. Gracias!

Silvio

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Máquina infectada

Mensajepor helheim » 23 Dic 2010, 14:37

silvio_pasot escribió:Dime los pasos a seguir o si el problema ya está solucionado
Si el problema está o no solucionado debes indicarlo tú.

Siguen apareciendo ventanas emergentes?.

Puedes activar ahora el Centro de Seguridad?.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

silvio_pasot
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 23 Dic 2010, 00:18
Contactar:

Re: Máquina infectada

Mensajepor silvio_pasot » 23 Dic 2010, 15:47

Las ventanas emergentes han desaparecido, pero no puedo activar el Centro de Seguridad.

El Spybot detecta un problema llamado Microsoft.WindowsSecurityCenter_disabled, que dice solucionar, pero lo he pasado una y otra vez y siempre vuelve a aparecer.

Dime si puedo hacerte llegar más datos para que me ayudes con este tema.

Muchas gracias por tu amabilidad.

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Máquina infectada

Mensajepor helheim » 23 Dic 2010, 16:27

Vamos a intentar activarlo manualmente.

Pulsa las teclas Windows + r y escribe services.msc

En la ventana que se te abre busca por Nombre el servicio "Centro de Seguridad", y asegúrate que está en Estado como "Iniciado" y en Tipo de Inicio como "Automático" (solo tienes que hacer un doble clic sobre Centro de Seguridad para cambiar esos parámetros).

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

silvio_pasot
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 23 Dic 2010, 00:18
Contactar:

Re: Máquina infectada

Mensajepor silvio_pasot » 23 Dic 2010, 18:23

El Estado aparecía en blanco y el Tipo de Inicio “Deshabilitado”.

Cuando pongo Tipo de Inicio “Automático”, y en estado “Iniciar”, automáticamente me aparece un globo de notificación en la barra diciendo:

“Activar el servicio Centro de seguridad de Windows. El servicio Centro de seguridad de Windows está desactivado. Haga clic para activarlo”.

Pero al hacerlo, aparece el cartel de error “No se puede iniciar en Centro de seguridad de Windows.”

Aguardo tu contestación. Perdón por mi insistencia y mi torpeza. Muchísimas gracias.

Silvio

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Máquina infectada

Mensajepor helheim » 24 Dic 2010, 14:50

Veo que tienes instalada una suite como ESET Smart Security. Prueba a desactivar momentáneamente el Firewall y el Antivirus y luego mira si puedes activar el Centro de Seguridad.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

silvio_pasot
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 23 Dic 2010, 00:18
Contactar:

Re: Máquina infectada

Mensajepor silvio_pasot » 24 Dic 2010, 22:08

Ahora anda todo a la perfección.

Mil gracias! Abrazo y felicidades.

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Máquina infectada

Mensajepor helheim » 25 Dic 2010, 12:30

Igualmente.

Un saludo y hasta la próxima.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)


Volver a “Windows 7”

¿Quién está conectado?

Usuarios navegando por este Foro: Baidu [Spider] y 4 invitados