ayudaaaaaaa!!!..virus contagioso

[JugadorX]

ola tengo un server 2003 q se le metido un virus creo q es "lnk" por q coloco cualquier USB se convierte en acceso directo y lo oculta como lo elimino de la pc no se ayuda!!..pleaseeeee



este es mi log



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 04:03:07 p.m., on 26/05/2011

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\msdtc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\ismserv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.3\OLAP\bin\msmdsrv.exe

C:\WINDOWS\system32\ntfrs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\LanSchool\lsproxy\lskproxy.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe

C:\Archivos de programa\LanSchool\teacher.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\taskmgr.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.547\u1008.exe

C:\Documents and Settings\Administrador\Mis documentos\Descargas\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.woofi.info

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.woofi.info

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.woofi.info

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/softAdmin.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Internet Explorer Web Blocker - {1935E690-1AC1-4AA5-BA23-3D9D0CEB3A00} - C:\WINDOWS\system32\Lsk_iBlk.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - C:\Archivos de programa\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Teacher] C:\Archivos de programa\LanSchool\teacher.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Administrador\Datos de programa\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\lskproxy.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\lskproxy.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\lskproxy.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CABINAS2011.COM

O17 - HKLM\Software\..\Telephony: DomainName = CABINAS2011.COM

O17 - HKLM\System\CCS\Services\Tcpip\..\{18FB13FD-94B2-4BE1-A6C6-FB53B50B3ACC}: NameServer = 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4984A22-731B-4E11-AB4D-4C607FD54970}: NameServer = 127.0.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CABINAS2011.COM

O17 - HKLM\System\CS1\Services\Tcpip\..\{18FB13FD-94B2-4BE1-A6C6-FB53B50B3ACC}: NameServer = 127.0.0.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CABINAS2011.COM

O17 - HKLM\System\CS2\Services\Tcpip\..\{18FB13FD-94B2-4BE1-A6C6-FB53B50B3ACC}: NameServer = 127.0.0.1

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Servidor DNS (DNS) - Unknown owner - C:\WINDOWS\System32\dns.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: SSL de HTTP (HTTPFilter) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Centro de distribución de claves Kerberos (kdc) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: LskProxy - LanSchool - C:\Archivos de programa\LanSchool\lsproxy\lskproxy.exe

O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Servicio de replicación de archivos (NtFrs) - Unknown owner - C:\WINDOWS\system32\ntfrs.exe

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Archivos de programa\WinPcap\rpcapd.exe

O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe

O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.17\bin\httpd.exe (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.5.8\bin\mysqld.exe (file missing)

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 10291 bytes

[msc hotline sat]

Pues parece que no has visto este Tema:



https://foros.zonavirus.com/viewtopic.php?f=13&t=5148



Y lo que cuentas lo hacen muchos malwares ya controlados por el ELISTARA, pruebalo...


[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]



Aparte, vacuna tu ordenador y pendrives con el ELIPEN !!! :





[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar el ordenador y las unidades de pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/descargar-elipenexe.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso



SALUDOS



ms, 27-5-2011

RANPROX41.1034-104.906

[msc hotline sat]

Y al revisar los Temas pendientes, por si te ayuda, indico link a Noticias relacionadas con la familia de malwares, que probablemente sea el que te está incordiando:



http://www.zonavirus.com/buscador-google.asp?cx=partner-pub-7877711713240415%3A57wbk6-3enf&cof=FORID%3A10&ie=windows-1252&q=dorkbot#1326



saludos



ms, 29-5-2011