MUCHOS VIRUS EN EL PC

[rivers]

Por favor, a ver si alguien me dice como eliminarlos.
Y de paso que me aconseje un antivirus para instalarmelo en el pc.

gracias.

Número de objeros analizados 52045
Virus encontrados 5
Objetos infectados 9 / 0
Objetos sospechosos 0
Duración del análisis 00:58:49

Bombre del objeto infectado Nombre del virus Última acción

Código: Seleccionar todo

C:\Documents and Settings\Administrador 2\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Datos de programa\ApplicationHistory\CLI.EXE.72313fbf.ini.inuse 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Historial\History.IE5\MSHist012008021420080215\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\Perflib_Perfdata_574.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\Perflib_Perfdata_ab4.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\Perflib_Perfdata_abc.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\~DF7F92.tmp 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\~DF804E.tmp 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\~DFCC49.tmp 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\~DFF89B.tmp 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Configuración local\Temp\~WRS0002.tmp 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Datos de programa\Microsoft\Plantillas\Normal.dot 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Datos de programa\Microsoft\Word\Guardado con Autorrecuperación de Documento1.asd 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Datos de programa\Microsoft\Word\Guardado con Autorrecuperación de Documento2.asd 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\Datos de programa\Microsoft\Word\Guardado con Autorrecuperación de Documento3.asd 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\Administrador 2\NtUser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat 	Object is locked 	saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	Object is locked 	saltado
C:\pos1.tmp 	Object is locked 	saltado
C:\pos13.tmp 	Object is locked 	saltado
C:\pos2.tmp 	Object is locked 	saltado
C:\pos205.tmp 	Object is locked 	saltado
C:\pos206.tmp 	Object is locked 	saltado
C:\pos207.tmp 	Object is locked 	saltado
C:\pos208.tmp 	Object is locked 	saltado
C:\pos209.tmp 	Object is locked 	saltado
C:\pos20A.tmp 	Object is locked 	saltado
C:\pos20B.tmp 	Object is locked 	saltado
C:\pos20C.tmp 	Object is locked 	saltado
C:\pos20D.tmp 	Object is locked 	saltado
C:\pos20E.tmp 	Object is locked 	saltado
C:\pos20F.tmp 	Object is locked 	saltado
C:\pos210.tmp 	Object is locked 	saltado
C:\pos9.tmp 	Object is locked 	saltado
C:\posA.tmp 	Object is locked 	saltado
C:\posB.tmp 	Object is locked 	saltado
C:\posC.tmp 	Object is locked 	saltado
C:\posD.tmp 	Object is locked 	saltado
C:\posE.tmp 	Object is locked 	saltado
C:\RECYCLER\S-1-5-21-1757981266-1364589140-682003330-1005\INFO2 	Object is locked 	saltado
C:\SDFix\backups\backups.zip/backups/runtime2.sys 	Infectados: Rootkit.Win32.Agent.ey 	saltado
C:\SDFix\backups\backups.zip 	ZIP: infectado - 1 	saltado
C:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
C:\System Volume Information\_restore{764EBE52-C88C-42CE-A915-599234FE8A2B}\RP246\A0025831.exe 	Infectados: Trojan-Downloader.Win32.Agent.iug 	saltado
C:\System Volume Information\_restore{764EBE52-C88C-42CE-A915-599234FE8A2B}\RP250\A0031880.exe 	Infectados: Trojan.Win32.Scapur.k 	saltado
C:\System Volume Information\_restore{764EBE52-C88C-42CE-A915-599234FE8A2B}\RP252\change.log 	Object is locked 	saltado
C:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	saltado
C:\WINDOWS\mrofinu1000106.exe 	Infectados: Trojan-Downloader.Win32.Agent.iug 	saltado
C:\WINDOWS\mrofinu572.exe 	Infectados: Trojan-Downloader.Win32.Agent.iug 	saltado
C:\WINDOWS\mrofinu572.exe.tmp 	Infectados: Trojan-Downloader.Win32.Agent.iug 	saltado
C:\WINDOWS\SchedLgU.Txt 	Object is locked 	saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{CE816E99-6F91-44CA-B507-ECB3C3D3F6D0}.bin 	Object is locked 	saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	Object is locked 	saltado
C:\WINDOWS\Sti_Trace.log 	Object is locked 	saltado
C:\WINDOWS\system32\audiohq.exe 	Infectados: Trojan-Downloader.Win32.Banload.fvt 	saltado
C:\WINDOWS\system32\CatRoot2\edb.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\edbtmp.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb 	Object is locked 	saltado
C:\WINDOWS\system32\config\ACEEvent.evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\default 	Object is locked 	saltado
C:\WINDOWS\system32\config\DEFAULT.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\ODiag.evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\OSession.evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\sam 	Object is locked 	saltado
C:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\security 	Object is locked 	saltado
C:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\software 	Object is locked 	saltado
C:\WINDOWS\system32\config\SOFTWARE.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\system 	Object is locked 	saltado
C:\WINDOWS\system32\config\SYSTEM.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\dtscsi.sys 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\sptd.sys 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\sptd5917.sys 	Object is locked 	saltado
C:\WINDOWS\system32\h323log.txt 	Object is locked 	saltado
C:\WINDOWS\system32\nGpxx01\nGpxx011065.exe 	Infectados: Trojan-Downloader.Win32.VB.cgu 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	saltado
C:\WINDOWS\wiadebug.log 	Object is locked 	saltado
C:\WINDOWS\wiaservc.log 	Object is locked 	saltado
C:\WINDOWS\WindowsUpdate.log 	Object is locked 	saltado
Análisis completado.

[msc hotline sat]

Pues envianos estos ficheros para analizar:
C:\SDFix\backups\backups.zip/backups/runtime2.sys
C:\SDFix\backups\backups.zip
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\system32\audiohq.exe
C:\WINDOWS\system32\nGpxx01\nGpxx011065.exe
C:\WINDOWS\system32\ojkdgvba.dll
C:\WINDOWS\47681728.exe
C:\Archivos de programa\?icrosoft\l?ass.exe
C:\DOCUME~1\ADMINI~2\MISDOC~1\ASEMBL~1\rundll32.exe

y estos dos los puedes borrar directamente, pero desactivando la restauracion de sistema y arrancando en modo segur0:
C:\System Volume Information\_restore{764EBE52-C88C-42CE-A915-599234FE8A2B}\RP246\A0025831.exe
C:\System Volume Information\_restore{764EBE52-C88C-42CE-A915-599234FE8A2B}\RP250\A0031880.exe

saludos
ms, 14-2-2008

-> Para ello recordar: viewtopic.php?f=2&t=45334

[rivers]

hola!



gracias por la respuesta



¿cómo te los envio?



¿puedo ir haciendo algo mientras tanto con el log que os he pegado en el foro correspondiente?



saludos

[msc hotline sat]

Ojo, revisa la lista que he añadido unos cuantos y lo de como lo envías, pues lo decimos en:

-> Para ello recordar: viewtopic.php?f=2&t=45334

y mientras puedes añadir a la extensión de los ficheros .VIR y dejarlos donde están, y los que no sean malware, una vez analizados, los podrás volver a renombrar a su extensión original

saludos
ms, 14-2-2008

[rivers]

ok, ahora voy para allá



de todas formas me detectan



vb. cgu

zapchast

rootkit



como virus

[rivers]

lo curioso es que intento mandarlos pero no los encuentra...que raro...¿que puedo ir haciendo para ir eliminando?

[msc hotline sat]

No los elimines, sino no podremos ayudarte...

Mira de buscarlos arrancando en modo seguro y ten presente que pueden estar ocultos

saludos
ms, 2¡14-2-2008

[rivers]

Después de darle vueltas toda la tarde y no poder enviarlo te paso el nuevo log donde puedes ver si hay algo incorrecto (dañino)

Logfile of HijackThis v1.99.1
Scan saved at 21:18:53, on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\DAEMON Tools\daemon.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\emule\emule.exe
C:\Archivos de programa\Spyware Doctor\pctsGui.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\ARCHIV~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tlz] C:\WINDOWS\47681728.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Btvo] "C:\Archivos de programa\?icrosoft\l?ass.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

A ver si podemos hacer algo...

[msc hotline sat]

Sin las muestras indicadas poco podemos hacer.

Y en log solo aparecen estos ficheros sospechosos:
C:\WINDOWS\47681728.exe
C:\Archivos de programa\?icrosoft\l?ass.exe

Si quieres enviarnoslos, (en la forma indicada en anteriores post), los analizaremos e informaremos

saludos
ms, 15-2-2008