Problemas con virus o spyware

Responder
Avatar de Usuario
yorkes
Mensajes: 66
Registrado: 14 Jun 2004, 19:18

Problemas con virus o spyware

Mensaje por yorkes » 28 Ene 2005, 08:27

Mi antivirus me encontró los siguientes virus:



d:\archivos de programa\codec pack de elisoft\divx511\fsg_4104.exe infected: Application.Adware.Gator

d:\archivos de programa\codec pack de elisoft\divx511\ci_0 infected: Application.Adware.Gator

d:\archivos de programa\codec pack de elisoft\divx511\ci_1 infected: Application.Adware.Gator

d:\archivos de programa\codec pack de elisoft\divx511\ci_2 infected: Application.Adware.Gator

d:\archivos de programa\codec pack de elisoft\divx511\ci_3 infected: Application.Adware.Gator







d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp5\a0000421.exe infected: Trojan.Downloader.IstBar.GA

d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp12\a0004315.exe infected: Trojan.Downloader.IstBar.GA

d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp12\a0004316.exe infected: Trojan.Downloader.IstBar.GG

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016782.reg infected: Trojan.WinREG.LowZones.A

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016783.exe infected: Application.ProcKill.Jk

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016784.exe infected: Application.Dropper.Ncase.Salm

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016785.exe infected: Application.Adware.Gator

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016786.exe=>(Upx) infected: Adware.Ncase.D

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016787.dll infected: Adware.1088

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016788.dll infected: Adware.SideFind.A

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016789.exe=>(Petite 2.2) infected: Adware.Opti.A

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016790.exe infected: Adware.Ncase.D

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016791.exe=>(Petite 2.2) infected: Adware.Opti.A

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016792.exe=>(Upx) infected: Adware.WinAD

d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016793.exe=>(Upx) infected: Adware.Winad.A



He pasado el spybot y el adware tal como me indicasteis y siguen apareciendo los mismos virus.



Por elllo ahora os pego el log del HijackThis haber si me indicais que debo borrar, tambien os agradecería me indicarais como puedo desinstalar el codec Pack Elisoft, ya q contien dos archivos q son virus:



Logfile of HijackThis v1.97.7

Scan saved at 8:21:50, on 28/01/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

D:\WINDOWS\Mixer.exe

D:\archiv~1\softwin\bitdef~1\bdmcon.exe

D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

D:\Archivos de programa\SpywareGuard\sgmain.exe

D:\Archivos de programa\SpywareGuard\sgbhp.exe

D:\Archivos de programa\emulephoenix\eMule\emule.exe

D:\WINDOWS\System32\wbem\wmiapsrv.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\GONZAL~2\CONFIG~1\Temp\Rar$EX00.891\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Real Alternative\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe

O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - Startup: SpywareGuard.lnk = D:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0FAB249D-F731-4AEF-A6C7-C68599345609}: NameServer = 80.58.0.33,80.58.32.97

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 28 Ene 2005, 09:15

Viene de este otro link que cerramos al derivar a hijackthis



https://foros.zonavirus.com/viewtopic.php?p=23382&highlight=#23382



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 28 Ene 2005, 09:21

Antes de nada conviene que pases antivirus, spybot y ad_aware arrancando en modo seguro y desactivando antes la restauracion de sistema.



Has abierto un post en problemas de spyware que te conteste y este.



Una vez pases los programas mencionados antes, de tener problemas descarga la nueva version de hijackthis y nos pegas el nuevo log



· Hijackthis version: 1.99



Sitio 1 - Descargar Hijackthis



http://www.spywareinfo.com/~merijn/files/hijackthis.zip





Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 28 Ene 2005, 15:04

De momento lo que debes eliminar es estas tres entradas





O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe

O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe





Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
yorkes
Mensajes: 66
Registrado: 14 Jun 2004, 19:18

Mensaje por yorkes » 28 Ene 2005, 15:05

He pasado antivirus, spybot y ad_aware arrancando en modo seguro y desactivando antes la restauracion de sistema.



El antivirus me da el siguiente informe de virus:



d:\archivos de programa\softwin\bitdefender professional edition\infected\a0004319.exe=>(Upx) infected: Adware.Ncase.D

d:\archivos de programa\softwin\bitdefender professional edition\infected\a0004320.dll infected: Adware.1088

d:\archivos de programa\softwin\bitdefender professional edition\infected\a0008629.dll infected: Adware.SideFind.A

d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006905.reg infected: Trojan.WinREG.LowZones.A

d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006906.exe=>(Petite 2.2) infected: Adware.Opti.A

d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006907.exe infected: Application.ProcKill.Jk

d:\archivos de programa\softwin\bitdefender professional edition\infected\salm.exe infected: Adware.Ncase.D

d:\archivos de programa\softwin\bitdefender professional edition\infected\file0007.chk=>(FSG 2.0) infected: Trojan.Clicker.BA

d:\archivos de programa\softwin\bitdefender professional edition\infected\optimize.exe=>(Petite 2.2) infected: Adware.Opti.A

d:\archivos de programa\softwin\bitdefender professional edition\infected\winsched.exe=>(Upx) infected: Adware.WinAD

d:\archivos de programa\softwin\bitdefender professional edition\infected\wintaskad.exe=>(Upx) infected: Adware.Winad.A





Ahora he ejecutado la nueva versin de hijackthis y me da este log:



Logfile of HijackThis v1.99.0

Scan saved at 15:00:58, on 28/01/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\WINDOWS\Mixer.exe

D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

D:\Archivos de programa\SpywareGuard\sgmain.exe

D:\Archivos de programa\SpywareGuard\sgbhp.exe

D:\Archivos de programa\emulephoenix\eMule\emule.exe

D:\WINDOWS\System32\wbem\wmiapsrv.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

d:\archiv~1\softwin\bitdef~1\bdmcon.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\GONZAL~2\CONFIG~1\Temp\Rar$EX00.844\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Real Alternative\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe

O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - Startup: SpywareGuard.lnk = D:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0FAB249D-F731-4AEF-A6C7-C68599345609}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: BitDefender Scan Server - Unknown - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe



Que tengo que borrar?



Que clase de virus son estos y como los elimino?

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 28 Ene 2005, 15:09

Me adelante, arranca en modo seguro y desactiva restaurar sistema.



Sin ningun programa abierto lanza hijackthis pulsa scan y marca las siguientes entradas



O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe

O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe

O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe



una vez marcadas pulsa fix y acepta. Arranca en modo normal y comprueba.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Responder

Volver a “Foro HijackThis - copia y pega tu log”