MI MAKINA SE REINICIA SOLA!!

[chards]

Holas, bueno... una vez mas recurriendo a uds... cuando estoy trabajando... mi makina se reinicia siola... ya le pase el nod32 y me detecta un virus en memoria... y no se como borrarlo... aca les pego el log del hijackthis... espero puedan ayudarme,.,.... gracias de antemano





Logfile of HijackThis v1.99.1

Scan saved at 04:02:15 p.m., on 04/02/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\EPSON\INK MONITOR\INKMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\WEBSHOTS\WEBSHOTSTRAY.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

D:\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.geocities.com/hedda_marie_tolentino/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.geocities.com/hedda_marie_tolentino/index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\WebshotsTray.exe

O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by7fd.bay7.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = adsl

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146

[msc hotline sat]

Supoongo que te debe detectar el Adware ALEXA; el cual el NOD no te va a eliminar al no ser un virus.



Elimina estas claves:





O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm





y tras ello reinicia y nos cuentas el resultado, como respuesta de este Tema, gracias



saludos



ms, 5-2-2006

[chards]

Hola, aki estoy de nuevo e hice lo que me dijeron, pero al parecer no se ha borrado el virus, no es Alexa, es este: [b]Wyx.A (CRYPT.TSR.BOOT)(7)[/b]... y se aloja en la memoria, le pase de nuevo el hijackthis, y aca esta el log.



Logfile of HijackThis v1.99.1

Scan saved at 07:35:27 p.m., on 06/02/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

D:\HIJACKTHIS.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by7fd.bay7.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = adsl

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146







ya no se reinicia mi makina, ahora se cierra el programa en el ke estoy trabajando, en este caso es el corel, y no me deja grabar :S:S... espero puedan ayudarme

[msc hotline sat]

El virus WYX no es de ficheros sino de sectores fisicos y logicamente no es visible en los logs del HJT.



Primero liquidemos los logs de HJT eliminando esta clave:



O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)



Para ello arranque en modo seguro con la restauracion de sistema deshabilitada.



Luego debe arrancar con un disquete de sistema, de W98 o formateado con sistema en un XP pero sin este virus, o sea no hecho ahora con esta maquina, pues estaría infectado.



Con tal disquete colocado en la disquetera, arranque el equipo y una vez arrancado ejecute, desde el DOS que proporciona el arranque de dicho disquete, la utilidad ELIWYX:





ELIWYX:

http://www.zonavirus.com/datos/descargas/102/ELIWYX.asp





De esta forma serán sobreescitos los dos sectores de arranque (MBR y BOOT) que es donde se instala este virus, pero respetando los datos de las particiones.



saludos



ms, 7-2-2006

[chards]

disculpen, en win98 tambien hay restauracion de sistema?... donde lo encuentro?... en mi otra makina se donde esta, porque esta tiene winXP, pero en 98 no se.. podrian ayudarme.



Gracias

[msc hotline sat]

Claro que no, tiene toda la razón, y tampoco se llamaba modo seguro al modo de arrancar a prueba de errores, sino A PRUEBA DE FALLOS, pero es que el W98 es un sistema obsoleto desde have años que solo recordamos del pasado... Mire de actualizar el S.O., si bien a veces conlleva potenciar el hardware, claro, pero piense que muchas aplicaciones, incluso los antivirus, estan dejando de funcionar en los antiguos sistemas y solo van con teconología NT, como el W2000, el WIndows XP y el inminente Windows VISTA.



Y recuerde que todos los disquetes que haya utilizado esta máquina desde que se infectó (y no estuvieran protegidos contra grabacion) tendrán el BOOT infectado con dicho virus, y que su olvido en las disqueteras de otras máquinas con el Boot Sequence empezando por A:, las infectaría cuando arrancaran, por lo que tras eliminar el virus de esta, no se olvide de haver un repaso de los disquetes y elimine el virus del que la infectó y de los que ella haya infectado



Si tiene algun otro problema, cuentenoslo, pero sobre todo APAGUE EL ORDENADOR, ARRANQUE CON UN DISQUETE DE SISTEMA LIMPIO Y tras ello ejecute el ELIWYX.EXE



saludos



ms, 7-1-2006



Nota: Y lo de arrancar en dicho modo para eliminar la clave en cuestion, lo decimos porque esta clave es un resto de la que ya le indicamos elominar en un principio :



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL



y posiblemente se resista a ser eliminada si no se hace arrancando a prieba de errores. ms.