Virus que crea carpetas multiples y tambien virus de acceso directo!

[Magic_Rabbit]

SEgui todas las instrucciones al pie de la letra aca te dejo el log del malware bytes:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.27.02

Windows XP Service Pack 3 x86 NTFS (Safe Mode)
Internet Explorer 8.0.6001.18702
Administrador :: CRISTIAN [administrator]

27/07/2012 19:45:29
mbam-log-2012-07-27 (22-07-12).txt

Scan type: Full scan (C:\|D:\|G:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 236125
Time elapsed: 32 minute(s), 12 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 8
C:\Documents and Settings\Cristian22\Configuración local\Temp\ESET SMART SECURITY\Data\Dr.Emuler NOD32 Tools\NOD32.FiX.v3.x.exe (PUP.RiskWareTool.CK) -> No action taken.
C:\Documents and Settings\Cristian22\Configuración local\Temp\ESET SMART SECURITY\Data\Dr.Emuler NOD32 Tools\nod32crack.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\SoftonicDownloader_para_cyber link-powerdvd.exe (PUP.ToolbarDownloader) -> No action taken.
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\SoftonicDownloader_para_plant s-vs-zombies.exe (PUP.ToolbarDownloader) -> No action taken.
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\SoftonicDownloader_para_vlc-media-player.exe (PUP.ToolbarDownloader) -> No action taken.
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\speedbit-video-accelerator-3-2-3-3-en-win.exe (PUP.AdBundler) -> No action taken.
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\Programas para desinfectar la PC\SoftonicDownloader_para_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> No action taken.
D:\SoftonicDownloader_para_cdburnerxp-pro.exe (PUP.ToolbarDownloader) -> No action taken.

(end)

y aca te dejo el log del hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:36:50, on 27/07/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Winamp\Winampa.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Archivos de programa\Panda USB Vaccine\USBVaccine.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Personal Internet Movil\Personal Internet Movil.exe
C:\Documents and Settings\Cristian22\Mis documentos\Descargas\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E89189A-1A1E-4760-AF35-26A2C346CB3C}: NameServer = 172.21.7.7 172.25.7.6
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpda teService.exe
O23 - Service: Avira Programador (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 7958 bytes

------

Espero nuevas instrucciones ojala se pueda solucionar todo.
Te mando un abrazo! y nuevamente gracias por el tiempo que dedicas a ayudar.

[Master.Mind]

a. Aparecieron nuevos malwares. Es una lástima que descargues cosas sin mirar qué son, porque esto no va a terminar más.

Tenías varias barras en el navegador y programas que ínstalaste sin verificar si incluyen un malware (hay que buscar referencias), y eso hace a tu PC más vulnerable a infecciones y ataques. Tené en cuenta que la mayoría se instalan al visitar páginas y aceptar sin pensar cualquier cosa que te ofrecen.

Decime si podés cambiar tus actuales conductas al navegar por estas otras:

1) Cuando instales algo, tenés que ver leer todo lo que aparezca en pantalla y a su vez elegir la "Instalación personalizada" o "Custom" para poder destildar cualquier cosa "extra" que se quiera instalar.

2) Te sugiero que no instales cosas en forma indiscriminada y limites este tipo de complementos (plug-ins, barras extras al navegador,etc.) a un número muy reducido y que sean confiables (Java, Adobe, etc.).

Decime si entendiste lo que te expliqué, de lo contrario no vale la pena desinfectar porque en pocos días la PC va a estar infectada nuevamente.


b. En el informe del MBAM dice -> No action taken en cada cosa que encontró. Por favor confirmame si los eliminaste o no.

[Magic_Rabbit]

Como andas loco. Te comento que trate de no descargar nada este tiempo. Quiza fue porque conecte el cel que tenia el virus de los accesos directos.
Te entendi perfectamente las explicaciones que me diste.
Paso a contarte algo que paso.
Hoy me trajeron mi memoria del celular. (la que tiene el virus de los accesos directos) y la quize conectar a la pc. Primero la iba a vacunar para que no contagie a la pc. PERO apenas la conecte me salto un msj de el programa AVIRA.

"Para su seguridad se bloqueo el acceso al fichero G/: AUTORUN.INF"

osea que no me lo abrio automaticamente como hace siempre.
y cuando lo quize vacunar con el vaccine me salto un msj de error que decia:

Usbvaccine
La vacunacion no fue posible.
Error backing up the original file AUTORUN.INF

Asi que al final no lo vacuno y posiblemente este sea el malware nuevo que se aparecio.
Nose porque pasa eso me parece que el programa avira impide que pueda vacunar la memoria del celu. Ni idea

Por otra parte en el informe de MBAM. No elimine nada porque no me dijiste que los elimine asi que no lo hice. Si me das el ok escaneo nuevamente en modo a prueba de error y los elimino o pongo en cuarentena o lo que digas.

---------- Mensaje agregado a las 01:39 ---------- Mensaje anterior a las 01:36 ----------

otra cosa me olvide decirte: Mas arriba me dijiste que vacune todas las memorias USB que tenia. No tengo NINGUNA. osea que no vacune a ninguna. La primera que quize vacunar fue la memoria del cel hoy que me la trajeron antes de hacer todo lo que me dijiste y no me dejo. Te aviso porque quiza pensas que probe vacunar antes alguna otra memoria y funciono.
Nose si te sirve el dato pero te lo digo por si las dudas.
Abrazo!

[Master.Mind]

a. Una de las infecciones es de Internet: no bajes nada de Softonic.


b. Las instrucciones del MBAM decían eliminar todo. Hacelo.


c. Fijate que la vacunación que te dije es a todos los dispositivos USB. Mirá las instrucciones de nuevo y vacuná:

Conectá de a uno a la vez tus dispositivos USB y vacunalos con la opción USB drive Vaccination. De esta forma se evita que el pendrive contagie cualquier PC cuando se conecta.

d. Después vemos cómo vacunar a tu celular. Mientras no ejecutes nada desde el celular ni copies nada de ahí a tu PC. Lo ideal sería no conectarlo a ninguna PC, no creo que sea algo indispensable en contraposición con el riesgo que conlleva.


e. Desinfectá tu celular con MBAM y Avira en Modo seguro. Luego pegame los resultados si pudiste hacerlo.


f. Mañana te dejo las nuevas instrucciones para tu PC.

[Magic_Rabbit]

1_ Ya elimine TODO!.
2_ no tengo ningun pendrive ni usb. (con excepcion de el celular).
3_ Ya escane con el Avira y el malbarewyte.
Aca te dejo el log de la memoria del celular:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.27.02

Windows XP Service Pack 3 x86 NTFS (Safe Mode)
Internet Explorer 8.0.6001.18702
Administrador :: CRISTIAN [administrator]

28/07/2012 19:41:06
mbam-log-2012-07-28 (19-41-06).txt

Scan type: Custom scan (G:\|)
Scan options enabled: File System | Heuristics/Shuriken | PUP | PUM
Scan options disabled: Memory | Startup | Registry | Heuristics/Extra | P2P
Objects scanned: 360
Time elapsed: 25 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

[Master.Mind]

a. Parece que no hay infección en el celular, pero hay que intentar vacunarlo:

1) Iniciá en Modo seguro para que el antivirus no se interponga. IMPORTANTE: durante este proceso no podés copiar nada del celular a la PC porque no estás protegido.

2) Vacuná el celular con Panda Vaccine. Si no te deja porque ya existe el archivo AUTORUN.INF en el celular, tenés que eliminarlo con el FileAssasin que trae el MBAM; y si no resulta podés hacerlo también con el KillBox.

Avisame si tenés algún problema.

[Magic_Rabbit]

Listo master. Lo reincie en modo seguro y me dejo vacunarlo, y ahora cuando lo inicio en modo normal aparece como vacunado. . Te comento que el celular si tiene un virus.
Aca te adjunto una foto que le saque con la tecla "Impr pant pat sims".

http://www.subirimagenes.com/fondosy...r-7890408.html

Lo que hizo este virus es cambiarme todas las carpetas a acceso directo y me dice que pesan menos que antes. Osea cada una 2kb. Por si las dudas no hice click en ninguna para meterme para que no me contagie el virus. Pero cuando vi que lo escaneaba con el Avira vi que leia los nombres de los archivos que tiene adentro. Lo que me gustaria seria no perder los datos que tengo (mas que nada fotos que saque con el celu y que no pude pasar a la pc)

Gracias por la paciencia jaja! te mereces la medalla al usuario del mes

[Master.Mind]

Tuve otras desinfecciones que resolver, y como tu PC está en orden le di prioridad a otros casos. Tampoco puedo dedicarle más tiempo porque lo que sea desinfección lo hago con la cabeza fresca, sino me puedo equivocar, y no siempre estoy libre y con la cabeza lista.

Ya hiciste los escaneos del celular y no apareció nada, así que lo que estás viendo pueden ser las secuelas de una infección. Vamos por partes:

a. Para no perder las fotos, copialas a una carpeta de tu PC que tenga el nombre FOTOS INFECTADAS y ponele la fecha en el nombre. Luego de copiarlas, asegurate de que nadie toque esa carpeta. Mientras no abras (ejecutes) ninguna de esas fotos no te vas a infectar, así que no te preocupes.

b. ¿Tu celular tiene un sistema operativo como Android o es uno tradicional? Dame detalles del modelo y decime qué memoria tiene.