Virus, Dejo el log

maurirc · Mensaje por **maurirc** » 21 Jun 2007, 23:11

Logfile of HijackThis v1.99.1
Scan saved at 16:03:16, on 22/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.windowsue.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://mz.powerchallenge.com/applet/PowerLoader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4918E00C-2D42-4B3B-A645-46F2CC3F34A6}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{A35D8DA4-24A4-42D6-B2EB-BDCF52215D51}: NameServer = 200.45.191.35 200.45.191.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{4918E00C-2D42-4B3B-A645-46F2CC3F34A6}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{4918E00C-2D42-4B3B-A645-46F2CC3F34A6}: NameServer = 200.45.191.35,200.45.191.40
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Mensaje por **msc hotline sat** » 21 Jun 2007, 23:46

Diganos sintomas o en qué se basa para pensar que tiene un virus y saber lo que buscar, gracias

Ademas, el log del HJT es una minima parte del registro que muchas veces no visualiza determinadas claves que usan virus y troyanos...

Es una herramienta de ayuda

saludos

ms,

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 01:03

que sintomas? el nod me detecta q tengo virus, el w32..

ahora me dejo de aparecer, pero antes me aparecia acada rato q me encontraban virus

Mensaje por **msc hotline sat** » 22 Jun 2007, 07:37

Pues desactiva la restauracion de sistema, arranca en modo seguro y lanza el antivirus que te indica detectar virus, si aun es el caso

Informanos del resultado, gracias

saludos

ms, 22-06-2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 08:42

hola, reinicie en modo seguro y pase el antivirus me detecto como 100 archivos infectados, algunos no lo pudo desinfectar, al reiniciar en modo normal volvieron a aparecer, aca dejo un ejemplo de un archivo infectado

El archivo C:\WINDOWS\system32\winhlp32.exe está infectado con (Virus) Win32/Tenga.gen. NOD32 Scanner puede limpiar esta infección.

Mensaje por **msc hotline sat** » 22 Jun 2007, 10:16

Hay ficheros de sistema que estan en uso aun arrancando en modo seguro.

Si solo son de este tipo, lance una REPARACIÓN DE WINDOWS y serán sobreescritos dejndols sin virus:

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

Si no son de sistema, pruebe arrancar en modo seguro CON FUNCIONES DE RED y lance este AV ONLINE:

y nos cuenta el resultado, gracias

saludos

ms, 22.06.2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 12:21

que av online?

en modo seguro con conexiones de red no logro conectarme.

quiero abrir el discador de conexion y no lo abre, no es esta vez, sino siempre.

hice en modo seguro pasar antivirus y anti spyware pero el problema persiste.

Mensaje por **msc hotline sat** » 22 Jun 2007, 12:53

Se quedó en el portapapeles...

Antivirus ONLINE aconsejado

Pero si no puede arrancar en modo seguro hagalo en modo normal... veamos si los detecta y qué hace

saludos

ms, 22-06-2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 19:57

Hola de nuevo, hice el scan q me dijiste y me encontro un virus q no lo pudo desinfectar ni borrar q era este Win32/Gael.3666.A q estaba situado en : winhlp32.exe.

en modo seguro pase el ewido y me encontro esto:

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 13:59:37, 22/06/2007

+ Report-Checksum: 12F76568

+ Scan result:

C:\WINDOWS\system32\MRT.exe -> Heuristic.Win32.AVKiller : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@statcounter[1].txt -> Spyware.Cookie.Statcounter : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@adtech[2].txt -> Spyware.Cookie.Adtech : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

::Fin Report

vi otro caso en el foro del virus tenga y no le qdo otra q formatear, no se porq soy tan vulnerable a los virus, tengo el nod, actualizo windows update siempre, no me meto en paginas raras ni nada.

Mensaje por **msc hotline sat** » 22 Jun 2007, 20:36

El kit de la cuestion es hacerlo arancando en modo seguro y si no tienes router para conectar, no podras navegar arrancando en modo seguro con funciones de red, entonces debes tener el antivirus instalado y una vez arrancado en modo seguro, lanzarlo en dicho modo, como has visto en el Tema solucionado del mismo virus (link de arriba)

Espero que asi puedas

Cuentanos tus progresos al respecto, gracias

saludos

ms, 22-06-2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 21:08

Hola, cual es el antivirus q tengo q tener instalado? y de donde lo bajo?

no puedo abrir internet ya q no tengo router ( modo seguro )

Mensaje por **msc hotline sat** » 22 Jun 2007, 21:18

Veo que tienes instalado el NOD32, pues primero desactiva la restauracion de sistema, luego arranca en modo seguro y con el antivirus actualizado, lanzalo, y si ni asi puede , haz lo mismo pero con otro antivirus que te bajes en concepto shareware, cualquiera que sea

saludos

ms, 22-06-2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 21:20

ya probe de pasar el nod en modo seguro, me encontro un centenar de infecciones, pero al volver al modo normal volvieron a aparecer..

Mensaje por **msc hotline sat** » 22 Jun 2007, 21:25

Pues ya ves que tienes una buena coleccion para probar...

De entre ellos yo escogería el McAfee (lider mundial) y en segundo lugar el Kaspersky (ruso, y sin tanta experiencia, pero tecnicamente bueno)

De los demas, por estructura y experiencia, el de Symantec, (Norton), el de Computer Associates (E-Trust) y no nos olvidemos del español Panda !

ya nos contaras tus progresos al respecto

saludos

ms, 22.06-2007

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 22:11

pase el nod y no detecto nada, pero ya lo habia hecho, seguro q en un rato me va a volver a aparecer la pantalla q encontro un virus...

pase el avg y salio esto:

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 16:08:25 22/06/2007

+ Resultado del análisis:

C:\Archivos de programa\Cheat Engine\dbk32.sys -> Rootkit.Small : No se realizó ninguna acción.

::Fin del informe

maurirc · Mensaje por **maurirc** » 22 Jun 2007, 22:20

bueno, como te dije.. empezaron a aparecer los carteles del nod detectando troyanos a cada rato..

no se q hacer.

Mensaje por **msc hotline sat** » 22 Jun 2007, 22:35

Pero no has visto lo que te decia el AVG ??? :

C:\Archivos de programa\Cheat Engine\dbk32.sys -> Rootkit.Small : No se realizó ninguna acción.

Si no logras quitarlo con los antivirus que te indiqué, envianos este fichero para analizar:

C:\Archivos de programa\Cheat Engine\dbk32.sys

saludos

ms, 22-06-2007

maurirc · Mensaje por **maurirc** » 25 Jun 2007, 04:26

ese archivos q me pedis q mande es un chit para un juego q tengo, lo tiene un amigo y a el no le tira virus ni nada de eso. el virus q tengo es el tenga y ahora aparecieron mas..

no se q hacer, tan dificil es sacarlo? como hicieron otras personas?

Mensaje por **msc hotline sat** » 25 Jun 2007, 07:10

Pues debe tratarse de un falso positivo del AVG. De todas formas tengalo en cuenta ...

Sobre el Tenga o Gael es cuestion de tener un antivirus instalado, desactivar la restauracion de sistema, arrancar en modo seguro y lanzar dicho antivirus

saludos

ms, 25-06-2007

maurirc · Mensaje por **maurirc** » 27 Jun 2007, 02:43

hola de nuevo, he probado varias veces en modo seguro pasarle el nod actualizado, me los detecta, algunos los elimina y otros a cuarentena,

pero al volver al modo normal vuelven a aparecer..

sera algo del registro?

tendre q fixear algo con el Hajcktis ?

no encuentro salida.

Mensaje por **msc hotline sat** » 27 Jun 2007, 10:12

Mejor pruebe con este antivirus ONLINE arrancando en modo seguro con funciones de red

Antivirus ONLINE aconsejado

y nos comenta el resultado, gracias

saludos

ms, 27-06-2007