problemas con i-worm/vb.db (SOLUCIONADO)

[Gramos]

Reciban un saludo de mi parte antes de iniciar con el problema que me impide trabajar en forma normal.

Hace dias el antivirus AVG 7.5 actualizado me indicó la presencia de un gusano VB.DB en varios archivos y me dio la opcion de desinfectar cada uno (Heal) lo que hizo satisfactoriamente, al dia siguiente volvio a aparecer el aviso, por lo que para evitar problemas lo mande a cuarentena y pude trabajar normalmente

Ayer volvio a suceder lo mismo pero en esta ocasion como a los 20 minutos de desinfectar volvio a aparecer el aviso por lo que tuve que desinfectar 2 veces.

El dia de hoy no he podido trabajar normalmente por que el aviso me aparece cada 15 minutos ya sea que lo desinfecte o lo mande a cuarentena

Que puedo hacer?

[lucl]

Ejecuta hijackthis y veamos lo que tienes, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[Gramos]

Logfile of HijackThis v1.99.1

Scan saved at 11:53:41 a.m., on 20/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Administrador\Mis documentos\Descargas\hijackthis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [Vista Sidebar] C:\Archivos de programa\Vista Sidebar\sidebar.exe

O4 - HKLM\..\Run: [VisualTooltip] C:\Archivos de programa\VisualTooltip\VisualToolTip.exe

O4 - HKLM\..\Run: [Blaero Start Orb] C:\Archivos de programa\Blaero Start Orb\Blaero Start Orb.exe

O4 - HKLM\..\Run: [Styler] C:\Archivos de programa\Styler\Styler.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Weather] C:\Archivos de programa\AWS\WeatherBug\Weather.exe 1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

[msc hotline sat]

El log está limpio.



Y este virus es del tipo IRCBOT que se propaga por Internet Relay Chat (por ejemplo MSN) y si este ordenador usa messenger debe estar recibiendo "regalitos" de sus contactos, sin que ellos lo sepan, claro.



Por algo nosotros en la empresa tenemos prohibido el messenger...



saludos



ms, 20-2-2008

[Gramos]

Solo como comentario, cuando empezó a aparecer el aviso, desconecté el messenger, por la misma razon que comentas y resulta que ya apagado sigio intentando infectar el gusano... despues de como 15 intentos, reinicié la maquina y dejo de molestar... y el messenger esta prendido :shock:

En fin... que mas puedo hacer?

[msc hotline sat]

No eres tu, son tus contactos que si estan infectados te lo volveran a enviar, pero si ya se han enterado, y lo han limpiado, dejarán de enviarte regalitos...



Pero este está controlado, y se elimina soplando, los desconocidos son mas peludos, y cada día hay mas de 100 de nuevas variantes...



saludos



ms, 20-02-2008

[Gramos]

muy bien entonces te agradezco tus comentarios y mantendré el messenger desconectado... incluso lo desinstalaré

[msc hotline sat]

Mucho mejor, asi seguro que no te infectan con ellos ! :wink:



Y dando el Tema por solucionado, procedenos a cerrarlo



saludos



ms, 21-2-2008