no puedo instalar ningun antivirus (SOLUCIONADO)

yedeba · Mensaje por **yedeba** » 14 Ene 2008, 12:50

Hola!! me gustaria que me ayudaseis,se me infecto el ordenador con algun virus.Al principio no podia hacer casi nada,no funcionaba el explorer,al antivirus murió.Entonces le pase el antivirus on-line de panda.Elimine el google tool bar que era el responsable de que no me funcionase el explorery por ahora va bien pero sigo sin poder instalar ningun antivirus he probado ya muchos bitdefender,kaspersky,nod32...

Alguien me puede ayudar.

Este es el mi log del hijack. Muchas gracias.

[code]
Logfile of HijackThis v1.99.1
Scan saved at 12:42:54, on 14/1/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\AppServ\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\G DATA AntiVirus Trial\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Glary Utilities\Integrator.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\winlogon.exe
C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOCUME~1\admin\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\admin\CONFIG~1\Temp\Adobelm_Cleanup.0001
C:\Documents and Settings\admin\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Archivos de programa\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Archivos de programa\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://192.168.0.99/VatDec.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200302716580
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200302706768
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab
O16 - DPF: {DBC47AF6-7180-11D3-A326-000000000000} (Wit ActiveX Control) - http://elearning.avanzo.com/witserver/Download/AXWit.cab
O16 - DPF: {F881AD35-5B27-479A-9F8F-ADD9AE6F01E8} (Avanzo.Player) - http://elearning.avanzo.com/cursos_avanzo/avanzo.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{378149DA-EAAF-488A-BE94-5F52F562ABE8}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{53356D25-CE22-4831-AA08-AF7A95ED7E75}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: .nestoanrmo -  - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2.2 - Unknown owner - C:\AppServ\Apache2.2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: G DATA Scheduler (AVKService) - Unknown owner - C:\Archivos de programa\G DATA AntiVirus Trial\AVK\AVKService.exe (file missing)
O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt.exe
[/code]

Mensaje por **msc hotline sat** » 14 Ene 2008, 13:44

Elimine estas claves:

O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)

O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)

O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://192.168.0.99/VatDec.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: .nestoanrmo - - (no file)

O23 - Service: G DATA Scheduler (AVKService) - Unknown owner - C:\Archivos de programa\G DATA AntiVirus Trial\AVK\AVKService.exe (file missing)

y envienos para analizar este fichero:

C:\WINDOWS\SYSTEM32\reset5.dll

Tras analizarlo informaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 14-1-2008

yedeba · Mensaje por **yedeba** » 14 Ene 2008, 16:20

ya he enviado el archivo .dll

muchas gracias.

Mensaje por **msc hotline sat** » 14 Ene 2008, 16:42

Pues como que en este reset5.dll tambien detectan virus algunos antivirus con el VirusTotal:

[quote]File reset5.dll received on 01.14.2008 16:34:33 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result:

Loading server information...

Your file is queued in position: 9.

Estimated start time is between 63 and 90 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:

Antivirus Version Last Update Result

AhnLab-V3 2008.1.15.10 2008.01.14 Win-AppCare/Reseterm.17408

AntiVir 7.6.0.46 2008.01.14 CC/UKMalw.NA

Authentium 4.93.8 2008.01.13 W32/DL_small.BCS

Avast 4.7.1098.0 2008.01.14 -

AVG 7.5.0.516 2008.01.13 Downloader.Tibs.5.AK

BitDefender 7.2 2008.01.14 -

CAT-QuickHeal 9.00 2008.01.12 -

ClamAV 0.91.2 2008.01.14 -

DrWeb 4.44.0.09170 2008.01.14 -

eSafe 7.0.15.0 2008.01.13 Suspicious File

eTrust-Vet 31.3.5456 2008.01.14 -

Ewido 4.0 2008.01.14 -

FileAdvisor 1 2008.01.14 Low threat detected

Fortinet 3.14.0.0 2008.01.14 -

F-Prot 4.4.2.54 2008.01.13 W32/DL_small.BCS

F-Secure 6.70.13030.0 2008.01.14 -

Ikarus T3.1.1.20 2008.01.14 -

Kaspersky 7.0.0.125 2008.01.14 -

McAfee 5205 2008.01.11 -

Microsoft 1.3109 2008.01.14 -

NOD32v2 2790 2008.01.14 -

Norman 5.80.02 2008.01.14 -

Additional information

File size: 17408 bytes

MD5: 4bbb069330b8124085eb38eb4391dcd9

SHA1: 0629ede68f31944e010723f3af5c44debf30834e

PEiD: PECompact v1.4x+

Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4bbb069330b8124085eb38eb4391dcd9

packers: PECompact
[/quote]

De momento renombre su extension a .VIR, y al reiniciar ya no se pondrá en marcha. Luego, en proxima version de nuestras utilidades ya se eliminará clave y fichero si corresponde.

Y tras lo indicado anteriormente y esto ultimo, pruebe de instalar cualquier antivirus, que si no es que tiene a medias la instalacion de alguno y tiene que acabar de deinstalarlo (como hemos visto que tenía del GDATA) , por lo que respecta a virus espero que ya podrá instalarlo.

saludos

ms, 14-1-2008

Mensaje por **msc hotline sat** » 14 Ene 2008, 17:51

Al pasar el archivo a monitorizacion, vemos que ya se controla con la actual version del ELISTARA, asi que pruebela y nos comenta el resultado:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 14-1-2008

yedeba · Mensaje por **yedeba** » 15 Ene 2008, 16:45

Muchas gracias por la ayuda.

Ya he arreglado todos los problemas,pero de otra forma.

Seguia sin poder instalar nigun antivirus.

Por si ha alguien le sirve de ayuda con el programa unhackme he limpiado el ordenador a la perfeccion.

Haba algunos virus que se ejecutaban con el kernel o algo así, un tal srosa.sys otro .exe en el raiz de windows,etc.

Este programa es buenísimo.

Luego ya he podido instalar el kaspersky y he terminado de limpiar el ordenador.

De todas formas muchas gracias.

Mensaje por **msc hotline sat** » 16 Ene 2008, 19:37

Pues lo que tu tenias era un Bagle !

Pero en ninguna parte de los logs aparecía el srosa.* que dices...

Para ello hubiera bastado el ELIBAGLA, si hubieras dicho que no podía arrancar en modo seguro ... u otro sintoma típico, pero sin mas pistas, no habia razon de pensar en él mas que en cualquier otro de los varios cientos de miles :roll:

Bueno, pues la cuestion es que lo eliminaste y ya damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 16-1-2008