PUP.BundleInstaller.VG "No se tomaron medidas"

Foro referente al sistema operativo Windows XP
Tourette
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 23 Ene 2013, 21:54
Contactar:

PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Tourette » 23 Ene 2013, 22:54

Hola comunidad, entre a este foro buscando ayuda sobre mi problema con mi pc. Hace algunos días cuando la arranco se traba unos varios segundos en "Windows XP (con la barra verde abajo)" y luego al abrir mi usuario tarda mucho más de lo normal en cargar todo. Cabe aclarar que luego de 10 minutos más o menos, ya la pc sigue de fabula.

Probé desfragmentando el programa, pasando CCleaner para limpiar todo, desactivando el scanner del antivirus al iniciar pero todo seguía igual. Un amigo me dijo que podía tener la maquina infectada con Spyware/Malware y así fue como entré a este foro.

Encontré un post donde enseñan a instalar y usar el "Malwarebytes' Anti-Malware" el cual, luego de 3hs de búsqueda, me detecto 13 objetos infectados y me hizo reiniciar la pc. Luego de eso mi maquina mejoro bastante (aun que aun no del todo) pero viendo los registros me doy cuenta que hubieron 2 que no pudo desinfectar.

Les dejo el informe que me arrojo el programa a ver si me pueden ayudar a eliminarlos con el "FileAssassin" porque no me figura en la seccion de Cuarentena y me da un poquito de miedo.

Texto:
Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Versión de la Base de Datos: v2013.01.23.08

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Adrian :: DORMITORIO [administrador]

23/01/2013 12:50:42 p.m.
mbam-log-2013-01-23 (12-50-42).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|E:\|G:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 532212
Tiempo transcurrido: 3 hora(s), 2 minuto(s), 8 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 1
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> En cuarentena y eliminado con éxito.

Valores del Registro Detectados: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|csrcs (Trojan.Agent) -> datos: C:\WINDOWS\system32\csrcs.exe -> En cuarentena y eliminado con éxito.

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 11
C:\Documents and Settings\Mariela.DORMITORIO\Configuración local\Temp\p+CwbUkr.exe.part (PUP.BundleInstaller.VG) -> No se tomaron medidas.
C:\Documents and Settings\Mariela.DORMITORIO\Configuración local\Temp\Q5Ll1zYn.exe.part (PUP.BundleInstaller.VG) -> No se tomaron medidas.

C:\Archivos de programa\BSplayerPro\bsplayer.exe (Malware.Packer.Gen) -> En cuarentena y eliminado con éxito.
c:\windows\system32\ad5cb0\cnvpe.fne (Worm.Autorun) -> En cuarentena y eliminado con éxito.
c:\windows\system32\ad5cb0\dp1.fne (Worm.Autorun) -> En cuarentena y eliminado con éxito.
C:\WINDOWS\system32\AD5CB0\eAPI.fne (Worm.Autorun) -> En cuarentena y eliminado con éxito.
C:\WINDOWS\system32\AD5CB0\HtmlView.fne (HackTool.Patcher) -> En cuarentena y eliminado con éxito.
C:\WINDOWS\system32\AD5CB0\internet.fne (HackTool.Patcher) -> En cuarentena y eliminado con éxito.
c:\windows\system32\ad5cb0\krnln.fnr (Trojan.Agent) -> En cuarentena y eliminado con éxito.
C:\WINDOWS\system32\AD5CB0\RegEx.fnr (Worm.AutoRun) -> En cuarentena y eliminado con éxito.
D:\Adrian\ZIP\CHEAT ENGINE 5.4.exe (Riskware.Tool.CK) -> En cuarentena y eliminado con éxito.

fin)


Desde ya, muchas gracias por su tiempo y por su ayuda.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Souto » 23 Ene 2013, 23:16

Hola, bienvenido
Se trata de elementos de poca importancia, no siempre considerados infecciosos: Potentially Unwanted Programs(PUP)
No debes preocuparte por esto.

No obstante, si tienes alguna duda, saca un log de HijackThis y lo pegas en el foro:
manuales-tutoriales/como-obtener-un-informe-de-hijackthis-en-vista-o-seven-t12460.html

Saludos
Qui dove il mare luccica e tira forte il vento

Tourette
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 23 Ene 2013, 21:54
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Tourette » 24 Ene 2013, 13:29

Muchas gracias por su pronta respuesta... Estoy a punto de formatear la maquina pero no encuentro los cd's de los drivers y controladores :P
A continuacion les dejo el informe del "HijackThis".

Texto:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:24:17 a.m., on 24/01/2013
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\Java\jre7\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PlusService] C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Archivos de programa\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

--
End of file - 5287 bytes

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Souto » 24 Ene 2013, 13:48

No hay nada relevante en el log. Del análisis concluyo que los PUP probablemente tienen su origen en los "añadidos" que implica la instalación del Messenger Plus.

Saludos
Qui dove il mare luccica e tira forte il vento

Tourette
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 23 Ene 2013, 21:54
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Tourette » 24 Ene 2013, 13:51

Entonces... a que se puede deber el problema de que la pc arranca lentisima hasta que lo carga todo?
Que recomiendas hacer en estos casos?

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor helheim » 24 Ene 2013, 14:55

Tourette escribió:Entonces... a que se puede deber el problema de que la pc arranca lentisima hasta que lo carga todo?
Puede estar influyendo el que tengas programas iniciándose con el sistema operativo como:

Adobe ARM
Java Update
Messenger Plus!
Office12
Windows Live Messenger
OneNote 2007


Que no son realmente necesarios tenerlos ahí.

Ejecuta Ccleaner y en el menú de la izquierda, pincha donde dice Herramientas y luego en Inicio.

Imagen

En la parte derecha de la ventana te aparecerán una serie de pestañas. Te posicionas en la primera y abajo, en la parte de la derecha, verás un botón titulado "Guardar a un archivo de texto".

Pulsa en ese botón en cada una de las pestañas que veas.

Te guardará tantos archivos de texto como pestañas tengas. Luego te vienes al Foro y nos pegas el contenido de cada uno de esos archivos.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

Tourette
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 23 Ene 2013, 21:54
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor Tourette » 24 Ene 2013, 16:10

Muchas gracias helheim por intentar ayudarme.

En el menu Inicio tengo 5 pestañas.

Windows:
Si HKCU:Run CTFMON.EXE Microsoft Corporation C:\WINDOWS\system32\ctfmon.exe
Si HKCU:Run msnmsgr Microsoft Corporation "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
Si HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
Si HKLM:Run avast AVAST Software "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui
Si HKLM:Run GrooveMonitor Microsoft Corporation "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
Si HKLM:Run PlusService Yuna Software C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
Si HKLM:Run RTHDCPL Realtek Semiconductor Corp. RTHDCPL.EXE
Si HKLM:Run StartCCC Advanced Micro Devices, Inc. "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Si HKLM:Run SunJavaUpdateSched Sun Microsystems, Inc. "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
Si Startup User Recorte de pantalla e Inicio rápido de OneNote 2007.lnk Microsoft Corporation C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

Internet Explorer:
Si Extension Enviar a OneNote Microsoft Corporation C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
Si Extension Messenger C:\Archivos de programa\Messenger\msmsgs.exe
Si Extension Referencia Microsoft Corporation C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Si Helper Adobe PDF Link Helper Adobe Systems Incorporated C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
Si Helper Groove GFS Browser Helper Microsoft Corporation C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
Si Helper Java(tm) Plug-In 2 SSV Helper Oracle Corporation C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll
Si Helper Java(tm) Plug-In SSV Helper Oracle Corporation C:\Archivos de programa\Java\jre7\bin\ssv.dll
Si Helper Windows Live Aplicación auxiliar de inicio de sesión Microsoft Corporation C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

Firefox/Mozilla:
Si Extension avast! WebRep 7.0.1474 AVAST Software default Firefox 18.0.1 C:\Archivos de programa\AVAST Software\Avast\WebRep\FF
Si Plugin Adobe Acrobat 10.1.5.33 Adobe Systems Inc. default Firefox 18.0.1 C:\Archivos de programa\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll
Si Plugin Java(TM) Platform SE 7 U11 10.11.2.21 Oracle Corporation default Firefox 18.0.1 C:\Archivos de programa\Java\jre7\bin\plugin2\npjp2.dll
Si Plugin Microsoft® DRM 9.0.0.3250 Microsoft Corporation default Firefox 18.0.1 C:\Archivos de programa\Windows Media Player\npdrmv2.dll
Si Plugin Microsoft® DRM 9.0.0.3250 Microsoft Corporation default Firefox 18.0.1 C:\Archivos de programa\Windows Media Player\npwmsdrm.dll
Si Plugin Shockwave Flash 11.5.502.146 Adobe Systems Incorporated default Firefox 18.0.1 C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll
Si Plugin Unity Player 4.0.0.62010 default Firefox 18.0.1 C:\Documents and Settings\Adrian.DORMITORIO\Configuración local\Datos de programa\Unity\WebPlayer\loader\npUnity3D32.dll
Si Plugin Windows Media Player Plug-in Dynamic Link Library 3.0.2.628 Microsoft Corporation (written by Digital Renaissance Inc.) default Firefox 18.0.1 C:\Archivos de programa\Windows Media Player\npdsplay.dll

Tareas Programadas:
Si Task Adobe Flash Player Updater Adobe Systems Incorporated C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Si Task avast! Emergency Update AVAST Software C:\Archivos de programa\AVAST Software\Avast\AvastEmUpdate.exe

Menu Contextual:
Si Directory avast AVAST Software C:\Archivos de programa\AVAST Software\Avast\ashShell.dll
Si Directory MBAMShlExt Malwarebytes Corporation C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamext.dll
Si Directory WinRAR C:\Archivos de programa\WinRAR\rarext.dll
Si File 00avast AVAST Software C:\Archivos de programa\AVAST Software\Avast\ashShell.dll
Si File avast AVAST Software C:\Archivos de programa\AVAST Software\Avast\ashShell.dll
Si File MBAMShlExt Malwarebytes Corporation C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamext.dll
Si File WinRAR C:\Archivos de programa\WinRAR\rarext.dll

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: PUP.BundleInstaller.VG "No se tomaron medidas"

Mensajepor helheim » 27 Ene 2013, 14:56

Como tú mismo puedes observar, tienes aplicaciones ejecutándose en el inicio que ralentizan el arranque del sistema.

Lo que yo desactivaría de ahí sería:

Windows:
HKCU:Run msnmsgr Microsoft Corporation "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
HKLM:Run GrooveMonitor Microsoft Corporation "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
HKLM:Run PlusService Yuna Software C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
HKLM:Run SunJavaUpdateSched Sun Microsystems, Inc. "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
Startup User Recorte de pantalla e Inicio rápido de OneNote 2007.lnk Microsoft Corporation C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

Internet Explorer:
Todo lo que contiene esta pestaña puede ser desactivado; a menos, claro está que tú uses lo que aparece.

Firefox:
Plugin que no uses, lo desactivas.

Tareas Programadas:
Las dos.


Todos estos cambios puedes revertirlos haciendo el procedimiento contrario.

También tendrías que revisar los servicios de programas de terceros (que pueden ser necesarios o no) que se ejecutan durante el inicio y desactivar aquellos que no te interese.

Esto lo puedes ver desde Inicio/Ejecutar y escribes msconfig

Te aparecerá una ventana con una serie de pestañas. Pulsa en Servicios y marca la casilla donde dice "Ocultar todos los servicios de Microsoft"

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados