Consulta después de pasar el Malwarebytes...
 

Bueno lo primero de todo comentaros que en temas de PC, pues ando justito.
Os consulto el problemilla que tengo, a ver si me podeis echar un cable:

Tengo el NOD32 actualizado, y sin problemas.
Hasta ayer todo Ok, pero ayer al encender el pc, despues de digamos de cargar todo, salía una ventana del nod32 (código malicioso).

Bueno he pasado el Spybot Search&Destroy, y he solucionado todos los problemas.
Y una vez pasado, he desinstalado el spyboot.
Luego he pasado el Trojan Remover y también he corregido lo que salía.

Después acabo de pasar el Malwarebytes, haciendo una analisis completo y este es el log:

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2181
Windows 5.1.2600 Service Pack 3

26/05/2009 17:45:49
mbam-log-2009-05-26 (17-45-45).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 205873
Tiempo transcurrido: 37 minute(s), 15 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 1
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Dudu (Adware.DuDu) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Carpetas Infectadas:
C:\Archivos de programa\Save (Adware.WhenUSave) -> No action taken.

Ficheros Infectados:
(No se han detectado elementos maliciosos)


Como veis digamos salen 4 "problemas".
- Bien los 2 de Elementos de Datos del Registro Infectados, son porque en regedit tengo deshabilitado (1), para que no salga el icono rojo de alerta de windows, ya que tengo deshabilitado el firewall.
Respecto a los otros 2 "problemas".

- La carpeta infectada "Save", efectivamente está en C:\Archivos de programas, pero no contiene nada, es decir, está vacía. Que peligro puede tener ??

- Y la clave del registro infectada, HKEY_LOCAL_MACHINE\SOFTWARE\Dudu, save alguien que puede ser ??

Bueno antes de borrar los 2 últimos (Save y Dudu), quería saber vuestra opinión.
Por si pudiese haber algún problema por borrarlos ?? sobre todo ese tal Dudu ??


Gracias.

Primero, no hace falta que desintales el SpyBot S&D, no se queda residente.
Sobre el MBAM lo tengo instalado porque lo vi en unas páginas americanas en dicienmre pasado cuando tenía un problema que nada podía resolver hasta que encontré la solución con el ComboFix, pero la gente que lo nombraba siempre nombraba primero al Superantispyware, por lo que siempre paso primero el SA y pocas veces el MBAM
Y ya entrando en materia, aunque la carpeta esté vacía el programa sabe que esa carpeta suele contener bichitos, así que borrala. Y lo de las claves del registro tienes que pincha en Inicio-Ejecutar y poner REGEDIT, se te abrirá una especie de explorador con las claves a la izquierda y los valores a la derecha, busca esa clave (Dudu) y con el botón derecho la borras. OJO QUE ES MUY PELIGROSO TOCAR EL REGISTRO.

Bueno entonces entendido, es que eso de borrar una clave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Dudu, pues me da un poco....pensaba quizás luego algún programa no fuese bien....
Quizás mañana pase el Superantispyware.
Respecto al SpyBot, pues si tiene una protección residente, quiero decir que se queda como residente no ?? y otra función que no se muy bien que era - Tea Timer ????

Gracias.

el tea timer es el residente.

cargate esas entradas sin miedo.

si quieres desactivarlo, entra en ccleaner - herramientas - inicio y deactiva la entrada.

Angel, sobre el borrado de claves del registro, puedes hacer una copia exportandola y si algo falla, siempre la puedes restaurar y dejarlo como estaba.

tienes razón que hay una parte residente en el Spybot, el TeaTimer, pero no lo suelo activar ya que se pone bastante pesado y la gente normalmente no sabe lo que le está preguntando. Pero para desactivarlo hay una forma mas fácil de la que pone [B]sabito[/B], te vas a opciones avanzadas del propio Spybot y lo desmarcas.
Sobre lo que dice [B]Novatin[/B] es una buena medida de precaución, pero yo en vez de exportarla lo que hago es cambiarle el nombre poniendole varias 'x' al principio o al final para que no la encuentre, y al cabo de una semana la borro (si me acuerdo)

Ok, gracias a todos por los consejos.
La carpeta "Save" ya la borre y ahora voy a por la clave del registro. :)

Bueno he ido al registro y resulta que la carpeta "dudu", a su vez tiene otra carpeta, os pongo la captura:

http://img40.imageshack.us/img40/6172/dibujo1puc.jpg

borra la carpeta entera y cualquier otra entrada que haga referencia a dudu

Pues ya está borrada toda la carpeta "dudu". Por si acaso he hecho una copia del registro, con la opción exportar.

Gracias por todo.

pos ya sabes. . .nuevo escaneo completo. . .

[QUOTE=kezuziyo;3789703]...Sobre lo que dice Novatin es una buena medida de precaución, pero yo en vez de exportarla lo que hago es cambiarle el nombre poniendole varias 'x' al principio o al final para que no la encuentre, y al cabo de una semana la borro (si me acuerdo)[/QUOTE]

yo exporto solo la clave que me interesa y, por supuesto, la borro del registro.

Pues si volveremos a hacer un escaneo para ver si está todo OK...

es k nadie conoce la opcion "inicio - ejecutar y msconfig" para kitar programas del arranke de windows??

este sabito... le vas a hacer instalar el ccleaner para k kite un programa de la lista de inicio? vaya tela :D :D

que ya lo tiene instalaoooooooooooooooooooooo :D:D

Bueno he vuelto a pasar el spybot (lo he dejado instalado) y luego he pasado el malware y ha detectado una "cosa":

Malwarebytes' Anti-Malware 1.37
Versión de la Base de Datos: 2201
Windows 5.1.2600 Service Pack 3

31/05/2009 19:41:41
mbam-log-2009-05-31 (19-41-38).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 208123
Tiempo transcurrido: 37 minute(s), 36 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Spyware.Zbot) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


bueno a ver que opinais, que puede ser ?? lo borro desde el propio malware ??

Gracias.

Bueno edito, para consultaros, también si os fijais en al anterior escaneo con el malware, no detectó está clave de registro que ha detectado ahora??
Algo del explorer ? que es del internet explorer ??

He puesto en Google el numerito ese 43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6 y la primera página es esta [url]http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8723[/url]

Bueno en principio entiendo que el virus no lo tengo, de todos modos voy a pasar el NOD32.
Lo que entiendo es que digamos está "infectada" esa clave del registro.
La he eliminado, desde el regedit.

De todos modos, en el enlace que has puesto, veo que indican eliminar y modificar, más claves del registro y entradas del registro, y mi duda es si el spybot, el malware y el nod32 no detectan nada, si es necesario hacer esos pasos que indican ahi ??

Gracias.

puede que esa clave se haya quedado del virus que tenias, por si acaso revisa si tienes las otras entradas

Bueno no entiendo muy bien que quiere decir, lo de "valor", por ej:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Network

Valor: UID = "%ComputerName%_00048384"

y luego por ej. esta clave de registro aparece, pero tiene otra carpeta:

http://img3.imageshack.us/img3/6430/dibujozao.jpg

De todos modos se me ha olvidado decir, que de los ficheros que dice se crean en el pc, no tengo ninguno:

[I]Cuando se ejecuta copia los siguientes ficheros al equipo infectado:

* %System%\twain32\local.ds
* %System%\twain32\user.ds
* %System%\twain32\user.ds.lll
* %System%\twex.exe: es una copia de sí mismo.[/I]

Digamos que clave es la carpeta (la ventana izquierda) y valor es el fichero (la ventana mas grande).
en el enlace anterior ponía que borrases esa clave que tienes seleccionada y todo su contenido, incluyendo subcarpetas.
pero si no tienes esos ficheros es buena señal, es como si solo tuvieses el rastro de haber tenido virus

Vale pues nos quedamos así, de momento.
He vuelto a pasar el spyboot, malware y nod32.
Y todo OK, digamos que no ha detectado nada.

Estaré la tanto unos días y los volveré a pasar por si se ha quedado algo por ahí...

Y sobre todo prevención, nunca aceptes una ventana emergente y ten cuidado en que páginas entras.
Yo incluso tengo deshabilitado por el ZoneAlarm la ejecución de código embedido, como javascript, y las descargas, ni siquiera puedo ver un video de youtube, prefiero molestarme cada vez que quiero ver algo e ir cambiando esa opción (bueno, al final me decidí a poner la página de youtube en las excepciones aunque era reacio a ello, pero es un ejemplo)