AYUDA urgente! infectado xP

Iniciado por x64core, 15 Noviembre 2011, 07:49 AM

0 Miembros y 2 Visitantes están viendo este tema.

x64core

aqui esta el maldito virus!
http://www.mediafire.com/?dakybpnggkqyebd
lo raro es que esta firmado de microsoft, me imagino que infecto el archivo, y estoy seguro que
este es el principal deben haber otras partes en el disco

EL SCAN y si es un troyano:
Antivirus Version Last Update Result
AhnLab-V3 2011.11.15.01 2011.11.15 -
AntiVir 7.11.17.176 2011.11.15 -
Antiy-AVL 2.0.3.7 2011.11.15 -
Avast 6.0.1289.0 2011.11.15 -
AVG 10.0.0.1190 2011.11.16 -
BitDefender 7.2 2011.11.16 -
ByteHero 1.0.0.1 2011.11.14 Trojan.Win32.Heur.Gen
ClamAV 0.97.3.0 2011.11.15 -
Commtouch 5.3.2.6 2011.11.16 -
Comodo 10778 2011.11.14 -
DrWeb 5.0.2.03300 2011.11.16 -
Emsisoft 5.1.0.11 2011.11.16 -
eSafe 7.0.17.0 2011.11.15 -
eTrust-Vet 37.0.9568 2011.11.15 -
F-Prot 4.6.5.141 2011.11.16 -
F-Secure 9.0.16440.0 2011.11.15 -
Fortinet 4.3.370.0 2011.11.15 -
GData 22 2011.11.16 -
Ikarus T3.1.1.109.0 2011.11.15 -
Jiangmin 13.0.900 2011.11.15 -
K7AntiVirus 9.119.5466 2011.11.15 -
Kaspersky 9.0.0.837 2011.11.16 -
McAfee 5.400.0.1158 2011.11.16 -
McAfee-GW-Edition 2010.1D 2011.11.15 -
Microsoft 1.7801 2011.11.15 -
NOD32 6633 2011.11.15 -
Norman 6.07.13 2011.11.15 -
nProtect 2011-11-15.01 2011.11.15 -
Panda 10.0.3.5 2011.11.15 -
PCTools 8.0.0.5 2011.11.16 -
Prevx 3.0 2011.11.16 -
Rising 23.84.01.02 2011.11.15 -
Sophos 4.71.0 2011.11.16 -
SUPERAntiSpyware 4.40.0.1006 2011.11.15 -
Symantec 20111.2.0.82 2011.11.16 -
TheHacker 6.7.0.1.343 2011.11.15 -
TrendMicro 9.500.0.1008 2011.11.15 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.16 -
VBA32 3.12.16.4 2011.11.15 -
VIPRE 11057 2011.11.15 -
ViRobot 2011.11.15.4774 2011.11.16 -
VirusBuster 14.1.65.0 2011.11.15 -

Pablo Videla

Cuidado que algunos AV pueden lanzar falsos positivos

x64core

si es cierto pero no se :P el malware bytes tambien me lo detecto como troyano :P
igual aun asi no estoy convencido como ah quedado mi pc :P

Arcano.

Buenas,

No veo restos de malware en el log de Hijackthis, pero sí una línea que me resulta sospechosa:

CitarR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 122.72.12.88:80

Indica que estás utilizando un proxy... De china. La pregunta siguiente es: ¿Has configurado tú ese proxy?.

Por otro lado, me resulta curiosa tu afirmación:

CitarEncontre el malware en la herramienta anti rootkit  me salio un proceso en rojo llamado dllHost.exe pero he buscado informacion
y dice que es del sistema

El servicio es del sistema. Pero si GMER lo "ha pintado" de rojo, es sospechoso. De todas las veces que lo he utilizado, nunca se ha equivocado. Como digo, el servicio es válido, pero es muy probable que algún malware lo esté utilizando para su uso.

En el mismo GMER podrías revisar la pestaña "Files" y comprobar si también te indica algún fichero como infectado.

O bien, podrías bajarte Autoruns. Mediante "Options" filtrar por "Hide Microsoft and Windows Entries" y por "Verify Code Signatures". Realizar el escaneo, revisar el resultado y empezar por el fichero que, crees, es sospechoso. Mediante "Jump to" te redigirá al registro y podrás comprobar qué ejecutable está asociado.

Por supuesto, la otra opción es formatear. Pero es menos divertido.

Saludos.
La curiosidad es la antesala al conocimiento...

x64core

Hola  :D
Cita de: Arcano. en 16 Noviembre 2011, 10:05 AM
Buenas,

No veo restos de malware en el log de Hijackthis, pero sí una línea que me resulta sospechosa:

Indica que estás utilizando un proxy... De china. La pregunta siguiente es: ¿Has configurado tú ese proxy?.

Por otro lado, me resulta curiosa tu afirmación:

El servicio es del sistema. Pero si GMER lo "ha pintado" de rojo, es sospechoso. De todas las veces que lo he utilizado, nunca se ha equivocado. Como digo, el servicio es válido, pero es muy probable que algún malware lo esté utilizando para su uso.

En el mismo GMER podrías revisar la pestaña "Files" y comprobar si también te indica algún fichero como infectado.

O bien, podrías bajarte Autoruns. Mediante "Options" filtrar por "Hide Microsoft and Windows Entries" y por "Verify Code Signatures". Realizar el escaneo, revisar el resultado y empezar por el fichero que, crees, es sospechoso. Mediante "Jump to" te redigirá al registro y podrás comprobar qué ejecutable está asociado.

Por supuesto, la otra opción es formatear. Pero es menos divertido.

Saludos.
Si habia configurado yo el proxy :P
y si lo habia pintado de rojo cuando vi eso cerre el proceso :P luego empece a buscar informacion de virus que hacian eso y efectivamente
eran rootkit y que utilizaban tambien el servicio svhost.exe :P scanee con panda, KIS, Avira , MB,superSpyscan, y encontraron varios bichos pero en mos documentos que desde el principio no quise eliminarlos porque salia que eran archivos mios :P
pero me toco eliminarlos para segurarme de todo y formatear todo :P
gracias a todos por vuestra ayuda :)