Mi ordenador esta mu lento y el reproductor windows media tb

[mixson]

Ante todo un saludo... mi problema es el siguiente: Me enviaron un virus a travez del msn plus donde al aceptar le enviba a todos mis contactos zumbidos y ese mismo archivo a todos mis contactos.... me meti en un foro de virus y segui unos pasos para eliminarlo con lo cual lo elimine... Pero ahora mi ordenador al iniciarlo me va mu lento, el reproductor de windows media me emite las canciones lentas y raras y me salen paginas sin yo buscarlas indicandome que me baje y que proteja mi ordenador....... La verdad soy un poco torpe en esto pero si alguien me puede ayudar y decirme los pasos que debo seguir y hacer para eliminar los virus os agradeceria ... Gracias de antemano ... mixson

[msc hotline sat]

Pruebe esta utilidad, y posteenos el resultado junto con mas detalles del virus de MSN que indica haber tenido, nombre del mismo, fichero que eliminó, y todo lo que recuerde, para saber donde puede estar el problema, quizas en una limpieza deficiente o incompleta...



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 10-3-2008

[mixson]

cuando abri el archivo lo cerre enseguida y mis contactos me decian que tenia virus porque le mandaba zumbidos y un archivo del cual no recuerdo el nombre y en el foro me recomendaron lo sig: bajar un programa llamado HijackThis cuando lo ayas descargado colocalo en una carpeta en c: y ejecutalo se va abrir una ventana y le das do a sistem scan and save log file eso te creara un back up de tu sistema y escaneara tu compu se te abrira un txt ese no importa mucho en el programa te desplegara una lista donde veras todas tus cochinadas que se esten ejecutando busca la que diga C:\WINDOWS\system32\icpldrvx.exe yo tambien encontre este la verdad no se si pertenesca a ese virus pero tampoco se me hace conosido a que si le dije adios :p C:\WINDOWS\system32\WPDShServiceObj.dll y listo.



yo sin ver el nombre correcto de que se me indicaba en este caso "C:\WINDOWS\system32\icpldrvx.exe" elimine 2 o 3 que comenzaban en C:\WINDOWS\system32\ y no me acuerdo la terminacion, el caso es q desd ese momento no envie mas a mis contactos los zumbidos ni ese dichoso archivo pero al volver a encender el ordenador note que estaba lento, que se abren ventanas d paginas que no busco y que el reproductor de windows media me va mal

[Claudia34]

Peganos el log del elistara como se te indica arriba ademas del hijackthis.



Saludos.

[msc hotline sat]

Está claro que tenía un Banker, que el ELISTARA hubiera eliminado y restaurado claves o pedido muestras para analizar, pero eso de que borró ficheros manualmente "[b][i]elimine 2 o 3 que comenzaban en C:\WINDOWS\system32\ y no me acuerdo la terminacion," [/i][/b] es grave !!!



No sabiendo los ficheros que borró, y siendo de la carpeta indicada, recomiendo lanzar una REPARACION de sistema:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 10-3-2008

[lucl]

Esta entrada es legitima



C:\WINDOWS\system32\WPDShServiceObj.dll





asi que no debiste borrarla, la otra es de un PWS Banker que ya eliminarias con elistara como te aconsejo Msc. Pasalo aun asi y nos pegas el log, y el hijackthis tambien como te indica Claudia, y dejame recomendarte que mejor iria si te ciñeras a un solo foro, porque a veces sin querer quitais cosas que no debeis... es solo un consejo, saludos

[lucl]

Perdona msc no vi tu respuesta, saludos :lol:

[msc hotline sat]

Tranqui lucl, yo salgo a ratos, cuando me deja el telefono :wink: , ya está bien que digais cada uno lo suyo, asi he de escribir menos :lol:



saludos



ms. 10-3-2008

[mixson]

Mon Mar 10 13:45:49 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\YAYYWUT] -> C:\WINDOWS\SYSTEM32\yayywut.dll

Entrada Eliminada [HKLM\...\Run] "24b7b5b8"="rundll32.exe "C:\WINDOWS\system32\ufxjvjsi.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BM27848624"="Rundll32.exe "C:\WINDOWS\system32\blhhkbuo.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\YAYYWUT.DLL.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYYWUT.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\UFXJVJSI.DLL.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\UFXJVJSI.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\BLHHKBUO.DLL.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLHHKBUO.DLL --> Eliminado

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 10 13:59:35 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\YAYYWUT] -> C:\WINDOWS\SYSTEM32\yayywut.dll

Por favor, envienos una muestra del fichero

C:\Muestras\YAYYWUT.DLL.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYYWUT.DLL --> Acceso Denegado.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Mon Mar 10 14:03:02 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP42\A0011258.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP42\A0011265.EXE --> Eliminado, SpyRealtek

C:\TOOLSCD\Sound Driver\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4959

Nº Total de Ficheros: 70289

Nº de Ficheros Analizados: 15837

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKJJ.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)







y este es el de hijackthis







Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:55:27, on 10/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Internet Explorer\Iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Invitados\Local Settings\Temporary Internet Files\Content.IE5\TG7UVFX3\ELISTARA.17032008[1].EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201794806578

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



--

End of file - 6650 bytes





Gracias pos vuestra colaboracion esto fue lo que logre hacer , sigo esperando instrucciones :wink: y tomare en cuenta lo de quedarme con un solo foro mas cuando no se tiene idea de esto....

[lucl]

Pues envianos esto que te pide elistara





Por favor, envienos una muestra del fichero

C:\Muestras\YAYYWUT.DLL.Muestra EliStartPage v15.82





Por favor, envienos una muestra del fichero

C:\Muestras\UFXJVJSI.DLL.Muestra EliStartPage v15.82



Por favor, envienos una muestra del fichero

C:\Muestras\BLHHKBUO.DLL.Muestra EliStartPage v15.82



siguiendo las instrucciones del link que te dejo debajo



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y mira que te dice esto



Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9



y para quitar el vundo9 mirate este otro link



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



comentanos tus avances , saludos

[lucl]

Y actualizate el java que ya le toca, saludos

[mixson]

Perdonar pero no me entero de como es que tengo que enviar las muestras de esos ficheros que me piden.... mientras hago lo otro

Gracias

[lucl]

Sigue estas indicaciones



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



Encriptalas con winrar o winzip y ponle de contraseña la palabra VIRUS que es la usamos todos en el foro para que los tecnicos abran los envios. Y los archivos los tienes en C en una carpeta llamada muestras, saludos

[mixson]

veo que se me complica la cosa porque alli se me indica de como enviar las muestras pero el detalle es que no se donde las busco para poderlas enviar.

[lucl]

[quote="lucl"]Y los archivos los tienes en C en una carpeta llamada muestras, saludos[/quote]

fijate que te lo digo en el mensaje anterior, saludos

[msc hotline sat]

Pues el infosat lo dice bien clarito, y lucl te lo repite::


[quote]Pues envianos esto que te pide elistara



Por favor, envienos una muestra del fichero

C:\Muestras\YAYYWUT.DLL.Muestra EliStartPage v15.82



Por favor, envienos una muestra del fichero

C:\Muestras\UFXJVJSI.DLL.Muestra EliStartPage v15.82



Por favor, envienos una muestra del fichero

C:\Muestras\BLHHKBUO.DLL.Muestra EliStartPage v15.82[/quote]

saludos



ms, 10-03-2008

[mixson]

si es verdad y teneis toda la razon me confunfi porque se donde estan lo unico que no se como enviarlo, no se lo que es

Encriptalas con winrar o winzip y ponle de contraseña la palabra VIRUS .... ,me tengo que bajar ese prgarma o algo por el estilo ? es que cuanto intento abrirlos no se puede leer bien lo que se dice salen un poco de simbolos y cosas raras que no se entienden....



gracias

[mixson]

Por cierto mi oprdenaor cada vez esta mas loco abriendo mogollon de ventanas y avisos los cuales salen de la nada y cada vez son mas y mas ... decirme si sigo intentando eliminarlos por aqui o mandarlo a reparar que era lo que no queria antes que se carge mi ordenador este virus... gracias

[lucl]

Ante todo no abras mas los virus, y bajate el winrar que con esto lo que haras sera encriptarlos porque si no no podras enviarlos



http://www.winrar.es



es muy facil, una vez lo instales vas a la carpeta muestras y con el boton derecho del raton veras que tienes unos dibujos nuevos como de libros, le das a añadir al archivo y luego en el cuadro que te sale buscas la pestaña de propiedades avanzadas, y pinchas en crear contraseña. Una vez empaquetados , que lo sabras porque te aparecera el dibujo de los libros con el nombre de los archivos los envias, y hazlo cuanto antes para que podamos ayudarte. Nos comentas si lo conseguiste, saludos

[msc hotline sat]

y te recuerdo que como contraseña debes usar VIRUS , pues sino, no podríamos desempaquetarlos nosotros para analizarlos.



Ya se había indicado en post anteriores, pero al haberlo dado por supuesto en el último, lo recalco para que no tengas que buscarlo.



Buenos días y buena suerte :wink:



saludos



ms, 12-3-2008