Hola, no soy demasiado experto en estos temas. Resulta que hace unos días se me instaló algún software espía al descargarme un programa gratuito, parece que debí aceptar alguna licencia sin darme cuenta (el software era ebates money maker y alguno más). Después de eso, instalé un firewall (mc afee), también el sofware anti-espías de mc afee, y también spyboot y ad-aware.

Estos programas me decían que el ordenador estaba limpio, salvo spyboot, que me mostraba el mensaje "DSO Exploit" y me decía que había 5 ficheros con problemas. Para solucionarlo, actualicé spyboot; con lo que el problema ha desaparecido; y me dice que no hay archivos infectados. Sin embargo, me muestra un mensaje que dice algo así como "Mailbot: el proceso win.ini no se ha podido analizar".

He estado consultado en Internet sobre como eliminarlo, y lo que me dicen es que tengo que arrancar en modo seguro. El problema es que no puedo hacer eso, si pulso F8 y lo intento, windows xp no termina de iniciarse, y vuelve otra vez a la pantalla donde muestra las diferentes opciones para iniciar. Probé con ejecutar config y modificar boot.ini, pero fue peor, porque entonces ya no podía iniciar ni en modo normal ni en modo seguro, y tuve que introducir el disco de windows xp y solucionarlo a través de la consola de recuperación.

¿Tengo algún sofware maligno? ¿Cómo puedo eliminarlo, sabiendo que no puedo arrancar en modo seguro (no sé si eso es culpa de ese software)?

Agradecería que me ayudaráis. Un saludo.

He escaneado también el ordenador con ewido y karspersky.

Ewido no me ha encontrado nada.

El scanner de Karspersky me da el siguiente resultado:

KASPERSKY ONLINE SCANNER REPORT
Monday, July 10, 2006 4:44:07 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 10/07/2006
Kaspersky Anti-Virus database records: 193798


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\

Scan Statistics
Total number of scanned objects 18436
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 00:25:19

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Datos de programa\McAfee\AntiSpyware\Data\masdata.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee\AntiSpyware\Data\masevents.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee.com\Agent\Logs\TaskScheduler\McTsk shd001.log Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee.com\VSO\OASLogs\OAS.log Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\MANOLO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\MANOLO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\MANOLO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\MANOLO\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\MANOLO\Configuración local\Temp\~DFBAC7.tmp Object is locked skipped

C:\Documents and Settings\MANOLO\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\MANOLO\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\MANOLO\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{F53AB6BD-4107-48AE-86AE-EFCDEAE7807E}\RP97\change.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\sqlite_ffhSUVEeg4FbcaA Object is locked skipped

C:\WINDOWS\Temp\sqlite_Hu2CGZZRfsrs3t5 Object is locked skipped

C:\WINDOWS\Temp\sqlite_TC0B7FFOL4xQFBU Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


Pero cuando paso el spyboot, me vuelve a dar el mensaje de "mailbot: el proceso win.ini no se pudo analizar".

¿Qué hago ahora, teniendo en cuenta que tampoco puedo arrancar en modo seguro?

manolo rivera,

Es posible que poseas el componente rootkit Mailbot.AZ, residente en tu sistema. El mismo, altera muchos componentes operativos a nivel kernell. Esto es muy peligroso.

Me inclinaría por un ataque remoto, de un malware que utilizó un exploit DSO (Data Source Object Exploit), como lo menciona spybot.. para infectar tu sistema con spyware, entre otras cosas.

Diría que tu sistema es suseptible a que se propaguen extensiones del malware que podrían comprometer tu PC por completo. Te explico ahora, como experto en seguridad informática, que tu computadora puede ser huesped de diversidad de infecciones críticas.. que pueden además contener embedds de backdoors y trojans-Dls genéricos. Estos funcionan en conjunto para explotar tu sistema.

Te repito, esta NO es una infección común de spywares-virus. Esto ha sido accionado deliveradamente por algún usuario mal-intencionado. Al menos eso indica el reporte que coincide con tu status.. que está sujeto a equivocarse, claro.

Considera usar Anti-DSO (http://www.softpedia.com/get/Antivirus/Anti-DSO-exploit.shtml) además de HijackThis! (http://www.merijn.org/files/hijackthis.zip), y sus respectivos .logs que sugiero postees.

Manolo_Rivera;Escanea como indica Winux, con el HijackThis y pegas aquí todo el Log, luego yo me instalaría el Zone Alarm 6..., en Castellano que tiene 10MG aprox. y que lleva su medicina --lo encontrarás en el eMule--, y una vez instalado éste no dejes pasar nada que no sepas lo que es --a todo exploit o troyano que le cortes la comunicación con su Host, lo dejas inservible y se convierte en nada--
Saludos.

Hola, siento no haber respondido antes, pero llevaba unos días sin entrar en el foro, pensaba que nadie me respondía.

Os comento: pasé Panda y también NOD 32, desactivando antes Spyboot y los demás antivirus y el firewall de Mc afee.

Panda no me encontró nada, y NOD 32 tampoco, aunque había ficheros donde no podía entrar.

Después de eso, instalé de nuevo los antivirus y el firewall; y pasé de nuevo Spyboot. Ahora, Spyboot ya no me da el mensaje de Mailbot.

¿Puedo pensar que ahora ya no tengo nada? La verdad es que me habéis asustado un poco...

He pasado el anti DSO Exploit y me dice que mi windows estaba infectado por DSO Exploit pero que ya ho ha eliminado. Este es el report del HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 15:59:00, on 01/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\smcfg.exe
C:\WINDOWS\mHotkey.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\archiv~1\mcafee\MCAFEE~1\masalert.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\HotKey_Driver\HotKeyDriver.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\MANOLO\Configuración local\Temp\wz473c\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Menu] D:\Autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SMcfg] smcfg.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HotKeyDriver.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,90/mcinsctl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

¿Queda algo que eliminar?

El log está limpio. Aunque considerando lo que indica el soft anti-dso, si tu sistema fue infectado por dicho malware, es posible que aún existan entradas residentes.

La estructura de Mailbot.Az [SpamTool.Win32.Mailbot.az, Backdoor.Rustock.A, BKDR_RUSTOCK.A], es lo suficientemente compleja para controlar sistemas huesped, al actuar como Backdoor y Generic Trojan-Dl.. gráficamente:

http://img289.imageshack.us/img289/7047/fluj35xq8.png

Por lo que te recomendaría reportar y postear cualquier futuro síntoma que pueda presentar tu sistema.