Full Version: UNA PODRIDA
buenas esta es la pc de un amigo que no esta infectada si no podrida no abre nada les adjunto el systeminfo y unas capturas no se asusten con lo que van aver apenas es un analisis del 1%
mas capturas
QUOTE(Carlos Ramirez @ 1.10.2009 23:37) 
mas capturas
Vaya parece que la cosa viene bastante completica
Archivos contaminados:
C:\Archivos de programa\Seekmo\bin\10.3.86.0\OEAddOn.exe
C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe
C:\WINDOWS\system32\drivers\Prgds.exe
C:\WINDOWS\system32\drivers\dcin.exe"
C:\WINDOWS\system32\drivers\dcin.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\57070.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\dcin.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\eraseme_01682.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\eraseme_02644.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\eraseme_80000.exe
ShopperReports
C:\WINDOWS\system32\e8main0.dll
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\26627.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\26627.exe
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\56443.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\57070.exe
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\26627.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\75044.exe
C:\Documents and Settings\Lucy\Configuración local\Temp4088.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\26627.exe
C:\Documents and Settings\Lucy\Configuración local\Temp\26627.exe
Seguramente habrá más ocultos, genera también el AVZ sysinfo log ... pero ya lo veré mañana, me voy a la cama
Saludos y buenas noches
lo genere peno me deja postearlo da un error que dice run dll no sepuee abrir el archivo
Asegúrate de configurar Kaspersky con la opción Configuración -> Amenazas y Exclusiones -> Amenazas -> Configuración -> activas casilla: Otros programas.
Realiza en Modo Seguro de Windows un Análisis Completo del sistema con Kaspersky actualizado, modificando las opciones para que compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> avanzado.
Como segundas opciones puedes pasar el Malwarebytes y el Combofix, y nos subes los informes de registros (logs) resultantes.
Saludos.
Realiza en Modo Seguro de Windows un Análisis Completo del sistema con Kaspersky actualizado, modificando las opciones para que compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> avanzado.
Como segundas opciones puedes pasar el Malwarebytes y el Combofix, y nos subes los informes de registros (logs) resultantes.
Saludos.
aqui esta el avz
Más archivos contaminados, mirando sólo por encima ...
C:\autorun.inf -> HSC: sospecha de autorun oculto (alto grado de probabilidad)
C:\mranjm.exe -> HSC: sospecha de autorun oculto C:\autorun.inf [Autorun\Open]
E:\autorun.inf -> HSC: sospecha de autorun oculto (alto grado de probabilidad)
c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe
C:\WINDOWS\system32:vcrt80.exe -> MUY SOSPECHOSO
C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe
C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe
C:\WINDOWS\system32\strap.exe
c:\abs.exe
C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll -> Seekmo
Restos de AVG: C:\Archivos de programa\AVG\AVG8\avgssie.dll
Me voy a la cama
Saludos.
C:\autorun.inf -> HSC: sospecha de autorun oculto (alto grado de probabilidad)
C:\mranjm.exe -> HSC: sospecha de autorun oculto C:\autorun.inf [Autorun\Open]
E:\autorun.inf -> HSC: sospecha de autorun oculto (alto grado de probabilidad)
c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe
C:\WINDOWS\system32:vcrt80.exe -> MUY SOSPECHOSO
C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe
C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe
C:\WINDOWS\system32\strap.exe
c:\abs.exe
C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll -> Seekmo
Restos de AVG: C:\Archivos de programa\AVG\AVG8\avgssie.dll
Me voy a la cama
Saludos.
Que elimine en agregar o quitar programas seekmo.
Luego que ejecute este script:
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
Luego que ejecute este script:
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\abs.exe','');
QuarantineFile('C:\WINDOWS\system32\strap.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\mranjm.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
QuarantineFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe','');
QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
QuarantineFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll','');
QuarantineFile('C:\Archivos de programa\AVG\AVG8\avgssie.dll','');
QuarantineFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe','');
QuarantineFile('C:\WINDOWS\system32\e8main0.dll','');
DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\system32\drivers\Prgds.exe');
DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\system32\drivers\dcin.exe');
DeleteFile('C:\WINDOWS\system32\e8main0.dll');
DeleteFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe');
DeleteFile('C:\Archivos de programa\AVG\AVG8\avgssie.dll');
DeleteFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll');
DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mranjm.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\strap.exe');
DeleteFile('c:\abs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\abs.exe','');
QuarantineFile('C:\WINDOWS\system32\strap.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\mranjm.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
QuarantineFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe','');
QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
QuarantineFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll','');
QuarantineFile('C:\Archivos de programa\AVG\AVG8\avgssie.dll','');
QuarantineFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe','');
QuarantineFile('C:\WINDOWS\system32\e8main0.dll','');
DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\system32\drivers\Prgds.exe');
DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\system32\drivers\dcin.exe');
DeleteFile('C:\WINDOWS\system32\e8main0.dll');
DeleteFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\SeekmoSA.exe');
DeleteFile('C:\Archivos de programa\AVG\AVG8\avgssie.dll');
DeleteFile('C:\Archivos de programa\Seekmo\bin\10.3.86.0\HostIE.dll');
DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mranjm.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\strap.exe');
DeleteFile('c:\abs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
gracias lo voy a hacer, una pregunta como hago lo de la actualizacion de la base de datos del antivirus que cuando lo intento me dice no se puede hacer por que el modulo no esta autenticado....
QUOTE(Carlos Ramirez @ 2.10.2009 11:42)
gracias lo voy a hacer, una pregunta como hago lo de la actualizacion de la base de datos del antivirus que cuando lo intento me dice no se puede hacer por que el modulo no esta autenticado....
Me temo que al estar tan contaminado tu sistema, hasta que no lo limpies primero no podrás actualizar ... realiza lo que te comenta Radar y luego prueba a actualizar el KIS.
Saludos.
ah buen dia aqui en venezuela apenas amanece, sabes hice una compra online de kaspersky hace tres dias y no me han enviado el codigo ya les escribi a soporte tecnico y no me han dado respuesta que hago?
Ya lo has comentado en otro hilo, ya se ha comentado que en el foro no podemos ayudaros con estos temas, debes abrir un ticket de soporte en el helpdesk de Kaspersky o contactar directamente con el soporte para tu país.
Saludos
QUOTE
En que tienda web la compraste, es decir, en que país.
Dependiendo del lugar donde intentaras la compra, tu soporte dependera de un país o de otro.
En el foro no te podemos ayudar, en estos casos debes dirigirte al helpdesk de Kaspersky, abrir allí un caso como me imagino que has hecho, y esperar a que desde Kaspersky lo revisen, y solucionen.
Sobre todo enviales todos los datos que recuerdes, tus datos, fecha y hora de la compra, etc... para así agilizar el proceso.
Saludos
Dependiendo del lugar donde intentaras la compra, tu soporte dependera de un país o de otro.
En el foro no te podemos ayudar, en estos casos debes dirigirte al helpdesk de Kaspersky, abrir allí un caso como me imagino que has hecho, y esperar a que desde Kaspersky lo revisen, y solucionen.
Sobre todo enviales todos los datos que recuerdes, tus datos, fecha y hora de la compra, etc... para así agilizar el proceso.
Saludos
Saludos
ok gracias caos no tendras por ahi el numero telefonico de kaspersky venezuela? ya los he contactado 10 veces por correo y nada
Aquí tienes a un dealer autorizado para Venezuela, si te sirve de alternativa:
http://caracas.olx.com.ve/soluciones-antiv...os-iid-46392808
http://caracas.olx.com.ve/soluciones-antiv...os-iid-46392808
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.