virus en PC, como eliminarlos? (Solucionado)

[jomamilo]

Buenas:



Acabo de actualizar mi antivirus al Norton 2005 y cuando chequea el PC me dice que tengo dos virus que no es capaz de eliminar y otro de ellos que si lo pone en cuarentena.



Son estos:

backdoor.sdbot.AM en fichero bunodi.exe

downloader.trojan en wabegec.exe



y no se como proceder para borrarlos.



No parecen muy pelifrosos pero cada dos horas se me reinicia el PC.



Muchas gracias por vuestra ayuda una vez mas.



JMM

[cañera]

lo has intentado eliminar en a modo seguro desactivando restaurar sistema?

inicio/mi pc,clicas con botón derecho/propiedades/restaurar sistema,lo desactivas y aceptas.

apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

pasa tu antivirus actualizado.

cuentanos como te fue.

[jomamilo]

Lo he intentado tambien y no me detecta nada nuevo



Os adjunto la salida del hijackthis



Logfile of HijackThis v1.98.2

Scan saved at 20:21:50, on 30/01/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

F:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINNT\system32\regsvc.exe

F:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

F:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

F:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe

F:\Archivos de programa\Maxthon\Maxthon.exe

F:\ARCHIV~1\NORTON~1\NORTON~1\navw32.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\RoboForm.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\RoboForm.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Word] msword.exe

O4 - HKLM\..\Run: [UltraEdit] uledit.exe

O4 - HKLM\..\Run: [AnyDVD] F:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] F:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\RunServices: [UltraEdit] uledit.exe

O4 - HKCU\..\Run: [eMuleAutoStart] F:\Archivos de programa\eMule\emule.exe -AutoStart

O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Rellenar Formularios &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Guardar Formularios &^ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab



Saludos y muchas gracias por vuestro tiempo



JMM


[quote="cañera"]lo has intentado eliminar en a modo seguro desactivando restaurar sistema?

inicio/mi pc,clicas con botón derecho/propiedades/restaurar sistema,lo desactivas y aceptas.

apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

pasa tu antivirus actualizado.

cuentanos como te fue.[/quote]

[caito]

Lo único que veo malo es esto:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm



Baja la última versión del hijack :

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Haz que se vean todos los archivos :

Para configurar Windows Me/2000 para mostrar las extensiones de los archivos:



Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Ahora lanza el hijack y postea un nuevo log.

Salu2

caito

[msc hotline sat]

Vamos a ver, jomamilo, arrancando en modo seguro, como muy bien te indica nuestra cañera, podrás eliminar el virus que no te dejaba en modo normal por estar en uso, y el otro que ya había movido a cuarentena, en la misma sesion de modo seguro, ve a dicha carepta y borralo, y listos.



Por otro lado lo que indica Caito puede servirte para eliminacion de spywares como el ALEXA, lo cual tambien hubieras podido eliminar segun indicado en el tutorial al respecto:



https://foros.zonavirus.com/viewtopic.php?t=4795



Cuentanos tus progresos, como respuesta de este Tema, gracias



saludos



ms, 31-01-2005

[maura63]

Y esta entrada puede estar relacionada con troyano



O4 - HKLM\..\Run: [UltraEdit] uledit.exe



Saludos

maura63

[jomamilo]

Muy buenas



Como puse en mi anterior post ya intente la eliminacion en el modo seguro pero cuando lo hago ni me lo detecta ni puedo cargarme los ficheros a mano.



De ahi que como ultima intentona ejecute el hickjack para ver la salida que dejaba y enviarosla a los expertos a ver si veiais algo.



Esta tarde intentare hacer los que me decis y os enviare de nuevo el log para que lo analiceis.



Tambien he eliminado en norton ya que algunas veces no se cargaba al arrancar el PC y lo he cambiado por el Kellio que parece que va mejor.



Tambien tengo intslado un antispy que encontre en vuestra web y que tampoco encuentra nada.



Salu2



y gracias


[quote="msc hotline sat"]Vamos a ver, jomamilo, arrancando en modo seguro, como muy bien te indica nuestra cañera, podrás eliminar el virus que no te dejaba en modo normal por estar en uso, y el otro que ya había movido a cuarentena, en la misma sesion de modo seguro, ve a dicha carepta y borralo, y listos.



Por otro lado lo que indica Caito puede servirte para eliminacion de spywares como el ALEXA, lo cual tambien hubieras podido eliminar segun indicado en el tutorial al respecto:



https://foros.zonavirus.com/viewtopic.php?t=4795



Cuentanos tus progresos, como respuesta de este Tema, gracias



saludos



ms, 31-01-2005[/quote]

[caito]

Es verdad se me pasó esta :

O4 - HKLM\..\Run: [UltraEdit] uledit.exe

Info :

http://esp.sophos.com/virusinfo/analyses/w32sdbotto.html

Salu2

caito

[msc hotline sat]

Y tambien cabría eliminar la de RUNSERVICES:

O4 - HKLM\..\RunServices: [UltraEdit] uledit.exe



por eso conviene lanzar un antivirus, ya que además de eliminar estas claves, eliminará el fichero gusano, que de otra forma, i no se borra a mano, quedaría a punto de ejecutar y poder volver a crear la maraña.



Y para ello arrancar en modo seguro...



saludos



ms, 31-01-2005

[jomamilo]

Gracias por la rapidez de la respuesta.



Esta noche pruebo todo esto y mañana os cuento.



He recibido el mensaje de "modo seguro" jejejejej



Salu2



JMM


[quote="msc hotline sat"]Y tambien cabría eliminar la de RUNSERVICES:

O4 - HKLM\..\RunServices: [UltraEdit] uledit.exe



por eso conviene lanzar un antivirus, ya que además de eliminar estas claves, eliminará el fichero gusano, que de otra forma, i no se borra a mano, quedaría a punto de ejecutar y poder volver a crear la maraña.



Y para ello arrancar en modo seguro...



saludos



ms, 31-01-2005[/quote]

[jomamilo]

Buenas chicos:



Parece que el problema se soluciono de raiz desinatalando el firewall y antivirus que tenia y poniendo el kerio y un firewall de los que encontre en vuestro link de software.



Por el momento me ha eliminado todos los virus que habia, ha detectado algunos mas y los puso en cuarentena y no se ha vuelto a reiniciar hasta ahora.



Muchas gracias y podemos dar por soluzionado el problema.



quote="jomamilo"]Gracias por la rapidez de la respuesta.



Esta noche pruebo todo esto y mañana os cuento.



He recibido el mensaje de "modo seguro" jejejejej



Salu2



JMM


[quote="msc hotline sat"]Y tambien cabría eliminar la de RUNSERVICES:

O4 - HKLM\..\RunServices: [UltraEdit] uledit.exe



por eso conviene lanzar un antivirus, ya que además de eliminar estas claves, eliminará el fichero gusano, que de otra forma, i no se borra a mano, quedaría a punto de ejecutar y poder volver a crear la maraña.



Y para ello arrancar en modo seguro...



saludos



ms, 31-01-2005[/quote][/quote]

[maura63]

Quizas tuvieras el antivirus pillado por virus. Y como has solucionado el tema lo cerramos.



Saludos

maura63