Cosa muy rara

atletiko · Mensaje por **atletiko** » 15 Oct 2007, 13:44

Buenas a todos. Es mi primer mensaje y curiosamente para contaros mi problema. Resulta ke tengo un virus ke me afecta a todos los archivos de texto y buscadores de internet. Cada vez ke intento escribir un texto, éste se interrumpe con un signo circular y pekeño continuo y desesperante ke incluso me llega a borrar todo lo escrito. He acudido a casi todos los antivirus y antispyware existentes pero no encuentro resultado. He seguidopo los procedimientos ke en éste foro me explican para eliminar un virus y nada de nada. Sólo me keda formatearlo pero la verdad me gustaría saber como borrarlo. Os pongo el resultado del escaneo de claves:

Logfile of HijackThis v1.99.1

Scan saved at 13:39:01, on 15/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\SAGEM WiFi manager\WLANUTL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\edi\CONFIG~1\Temp\Rar$EX00.386\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://auto.search.msn.com/response.asp?MT=%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA&srch=3&prov=gogl&utf8

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Storm2Set] C:\WINDOWS\system32\rundll32.exe "C:\ARCHIV~1\StormII\StormSet.dll",CheckEnv

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: SAGEM Wi-Fi 11g USB adapter LAN Utility.lnk = ?

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{395AF2B7-E30F-45C1-A1A4-8BD6EE846D81}: NameServer = 192.168.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

Mensaje por **msc hotline sat** » 15 Oct 2007, 14:45

Vemos que usa el Ares, y ya ve lo que puede pasar al bajar programas de procedencia desconocida, alias P2P...

Pero en fin, vamos a ver si apañamos el problema:

De entrada elimine esta clave:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://auto.search.msn.com/response.asp?MT=%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA% C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2 %BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%B A%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA%C2%BA&srch=3&prov=gogl&utf8

y veamos lo que lanza esta otra:

O4 - HKLM\..\Run: [Storm2Set] C:\WINDOWS\system32\rundll32.exe "C:\ARCHIV~1\StormII\StormSet.dll",CheckEnv

Para ello envienos este fichero y lo analizaremos:

C:\ARCHIV~1\StormII\StormSet.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

A su recepcion la analizaremos e informaremos

saludos

ms, 15-10-2007

atletiko · Mensaje por **atletiko** » 15 Oct 2007, 22:51

acabo de eliminarlo. Muchisimas gracias. Era la primera ke me has señalado: autosearch.msn. De todas formas os enviaré el archivo por si os sirve para futuros problemas ke la gente pueda tener con este tipo de virus.

lo dicho, muchas gracias

Claudia34 · Mensaje por **Claudia34** » 16 Oct 2007, 03:46

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 16 Oct 2007, 05:49

No sé a lo que se refiere cuando habla del "autosearch.msn" ??? no le hemos indicado nada al respecto, ni lo veo en el log ...

Aclarenoslo, e informenos del resultado de lo que ha hecho, gracias

y si se refiere al AUTOSEARCH.MSN.COM ojo que se trata de un malware, redirige a una pagina maliciosa a la que el SiteAdvisor ya impide entrar: http://morgen... <interceptado>

Si dice que nos ha enviado muestra del mismo, ya informaremos tras analizarla.

saludos

ms, 16-10-2007