Virusazo al canto y efectos colaterales

[TITOTITA]

Anoche por error (y con el mcafee actualizado) instale un virus en mi ordenador, parece se que lo tengo medio dominado ;-) pero ahora medio windows me funciona mal, errores por todas partes y no me apetece formatear, me gusta mas investigar y conseguir reparar el pc.



Empezamos:

KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, June 2, 2009

Operating System:[b] Microsoft Windows Vista Home Basic Edition, 32-bit Service Pack 1 (build 6001)[/b]

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, June 02, 2009 00:50:12

Records in database: 2293625

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

C:\

D:\

E:\

F:\

Scan statistics

Files scanned 247751

Threat name 8

Infected objects 27

Suspicious objects 0

Duration of the scan 04:08:00



File name Threat name Threats count

[b]C:\Program Files\Common Files\Microsoft Update Engine\stub_4.exe Infected: Trojan.Win32.Buzus.bbck 1

C:\Program Files\Common Files\Microsoft Update Engine\stub_6.exe Infected: Trojan.Win32.FraudPack.oiy 1

C:\Program Files\Common Files\Microsoft Update Engine\stub_8.exe Infected: Trojan.Win32.Buzus.bdvb 1

C:\Program Files\Common Files\Services\S-1-5-21-1303342069-1704436931-538540071-3504\service.exe Infected: Trojan.Win32.Buzus.bbck 1 [/b]



Esto lo instaló el virus he borrado todo sin problemas pero ahora cuando entro en la carpeta C:\Program Files\Common Files\Microsoft Update Engine\ solo tengo una carpeta vacia llamada Fixed



[b]C:\Program Files\FileZilla FTP Client\filezilla.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\mp3DirectCut\mp3DirectCut.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\Password Memory 2009\Keynote.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\Room Arranger\RooArr.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\SomePDF\Some PDF Image Extractr\PDF2Img.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\Windows Mail\WinMail.exe Infected: Virus.Win32.Virut.ce 1

C:\Program Files\Windows Media Player\wmplayer.exe Infected: Virus.Win32.Virut.ce 1 [/b]



Todos esos programas y algunos mas han dejado de funcionar.



[b]C:\Users\Juanjo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3U1JP153\_08[1].htm Infected: Trojan.Win32.Buzus.bdvb 1

C:\Users\Juanjo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\903VUBMI\_04[1].htm Infected: Trojan.Win32.Buzus.bbck 1

C:\Users\Juanjo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUB9NWBM\loadme[1].htm Infected: Trojan.Win32.Buzus.bdcp 1[/b]



He eliminado TODOS los archivos que hay en esas tres carpetas



[b]C:\Users\Juanjo\AppData\Local\Temp\939.exe Infected: Virus.Win32.Virut.ce 1 [/b]



En esa carpeta creaba archivos con numeros.exe, ya he conseguido que no lo haga.



[b]C:\Users\Juanjo\AppData\Local\Temp\msexecsvr.exe Infected: Trojan.Win32.Buzus.bdcp 1[/b]

Borrado archivo.



[b]C:\Windows\Temp\VRT4CC8.tmp Infected: Trojan-Downloader.Win32.Injecter.cqd 1

C:\Windows\Temp\VRTB125.tmp Infected: Trojan-Downloader.Win32.Injecter.cqd 1 [/b]



Borrados todos los archivos de la carpeta TEMP



[b]C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6001.18000_none_f1582d884fb532fb\WinMail.exe Infected: Virus.Win32.Virut.ce 1

C:\Windows\winsxs\x86_microsoft-windows-mediaplayer-core_31bf3856ad364e35_6.0.6001.18185_none_0b1847174f5614f7\wmplayer.exe Infected: Virus.Win32.Virut.ce 1

F:\jdownloader\JDownloader.exe Infected: Virus.Win32.Virut.ce 1[/b]

Mas programas que no funcionan.



He desinstalado en Mcafee y cuando intento instalar el ESET Smart Security 4.0.417 (32-bit) ERROR: Windows installer dejo de funcionar

Nombre del evento de problema: APPCRASH

Nombre de la aplicación: msiexec.exe

Versión de la aplicación: 4.0.6001.18000

Marca de tiempo de la aplicación: 47918d31

Nombre del módulo con errores: msiexec.exe

Versión del módulo con errores: 4.0.6001.18000

Marca de tiempo del módulo con errores: 47918d31

Código de excepción: c0000005

Desplazamiento de excepción: 0002ca1a

Versión del sistema operativo: 6.0.6001.2.1.0.768.2

Id. de configuración regional: 3082

Información adicional 1: fd00

Información adicional 2: ea6f5fe8924aaa756324d57f87834160

Información adicional 3: fd00

Información adicional 4: ea6f5fe8924aaa756324d57f87834160



Mas daños, cada minuto me da el error COM SURROGATE DEJO DE FUNCIONAR

Firma con problemas:

Nombre del evento de problema: APPCRASH

Nombre de la aplicación: DllHost.exe

Versión de la aplicación: 6.0.6000.16386

Marca de tiempo de la aplicación: 4549b14e

Nombre del módulo con errores: DllHost.exe

Versión del módulo con errores: 6.0.6000.16386



[b]Y ALGO QUE ME PREOCUPA POR QUE NO SE SI TIENE QUE ESTAR[/b]

Tengo los siguiente usuarios con sus premisos

CREATOR OWNER Marcado con permisos especiales.

SYSTEM : Marcado con permisos especiales

ADMINISTRADORES : Marcado con permisos especiales

USUARIOS: Marcado (Lectura y ejecución, Mostrar contenido y lectura)

TrustedInstaller : Marcado con Mostrar contenido de la carpeta y permisos especiales.



mas cosas ¿puedo borrar el valor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman que llama a donde estaba el virus (que ya no esta)?



Otros programas que no me funcionan: Simbolo de sistema (CMD), A veces el sonido da error y unas cuantas cosas mas.



Ahora estoy pasando el Malwarebytes, luego cuento el resultado.



¿OS ATREVEIS A REPARALO CONMIGO? Tengo algunas nociones de informatica y me divierte pelearme con los virus.

[msc hotline sat]

Pues con el VIRUT o Vitro que tienes, no te va a ser divertido pelearte con los virus, si es que lo es con alguno...



Mejor saca el disco duro y ponlo como esclavo de otro limpio, y arrancando con el Master, limpia el esclavo, pues dicho virus infecta todos los EXE, incluidos los de sistema, y por ello, aunque arranques en modo seguro entra en memoria, por lo que lo ideal es arrancar desde otro medio. Si lo tuvieras, podrias tambien usar un LIVECD y un antivirus para Linux, como disponen los asociados a los servicios técnicos de SATINFO, pero como no creo que sea el caso, procede segun lo indicado, y aun asi... el VIRUT es un mal bicho del que algunos ficheros quedan malparados.



En fin, ya nos diras lo que decides, "diviertete" un rato...



saludos



ms, 3-6-2009

[TITOTITA]

Utilizaré un Usblive ya que el ordenador es un portatil y resulta un poco dificil desmontarlo. Este finde me preparare el usb y ...... a jugar.

[msc hotline sat]

Sí, si tu ordenador te permite arrancar de USB, que no son todos, y si tienes un antivirus para correr bajo LINUX... sino puedes probar el de evaluacion de McAfee bajo linea de comandos.



En www.satinfo.es , en descarga de evaluaciones tienes el enlace a McAfee de ello



Pero creo que despues de esta experiencia no te "divertirá" tanto "jugar" con los virus...



saludos



ms, 3-6-2009