Alguien me puede decir que VIRUS puede tener mi pc...?

NewBoySpy · Mensaje por **NewBoySpy** » 04 Jul 2006, 17:08

Saludos, he escaneado mi PC con el McAfee, el Norton, El Panda y el Avira y no me detecta ningun virus aparentemente, pero yo creoq ue si está infectada, pues de repente me cierra el msn messenger, y así de la nada me abre la puerta de la unidad de CD....

Alguien me podira orientar que tipo de virus o cual podria ser el que tengo y por que no lo detectan los antivirus..?

Gracias.

Mensaje por **msc hotline sat** » 04 Jul 2006, 18:03

Cada día se descubrem un promedio de 200 malwares nuevos, entre virus, troyanos y demas, por lo que no es de extrañar que el suyo no sea aun conocido...

Pero no va a tardar mucho en serlo, ya lo verá

Posteenos el log del HJT y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 4-7-2006

NewBoySpy · Mensaje por **NewBoySpy** » 04 Jul 2006, 18:27

~~[b]~~Salu-2. aqui está el log que genero el HiJackThis[/b]

Logfile of HijackThis v1.99.1

Scan saved at 11:28:39 a.m., on 04/07/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

c:\windows\SYSTEM\KB891711\KB891711.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE

C:\WINDOWS\SYSTEM\LEXBCES.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE

C:\IBM\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\WEBSHOTS\WEBSHOTSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://mx.search.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gopher=10.0.3.2:80;http=10.0.3.2:80;https=10.0.3.2:80;socks=10.0.3.2:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

N1 - Netscape 4: user_pref("browser.startup.homepage", "file://C:\\ibmtools\\ign\\atlas1.htm"); (C:\Archivos de programa\Netscape\Users\default\prefs.js)

O2 - BHO: (no name) - {479D7661-3165-11D9-9455-005002215AF0} - C:\WINDOWS\SYSTEM\OIJ.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [LLMODCL2] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\LLMODCL2.INF

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LexStart] LexStart.EXE

O4 - HKLM\..\Run: [avgctrl] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgctrl.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedm] "C:\Archivos de programa\AntiVir PersonalEdition Classic\schedm.exe"

O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

O4 - Startup: Reminder-ibm40201.lnk = C:\IBM\REGISTER\REMIND32.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\WebshotsTray.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk904YYMX

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/346/online.chm::/on-line.exe

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab

O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = dgeds_dom

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.33.146.193,200.33.146.201,10.250.100.2

O18 - Filter: text/html - {479D7660-3165-11D9-9455-00506D6DFF6B} - C:\WINDOWS\SYSTEM\OIJ.DLL

O18 - Filter: text/plain - {479D7660-3165-11D9-9455-00506D6DFF6B} - C:\WINDOWS\SYSTEM\OIJ.DLL

Mensaje por **msc hotline sat** » 04 Jul 2006, 20:10

Elimina estas claves:

Para ello, lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O2 - BHO: (no name) - {479D7661-3165-11D9-9455-005002215AF0} - C:\WINDOWS\SYSTEM\OIJ.DLL (file missing)

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk904YYMX

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/346/online.chm::/on-line.ex e

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

y envianos muestra de estos ficheros para analizar:

c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\LLMODCL2.INF

C:\WINDOWS\supervisor.exe

C:\Archivos de programa\Webshots\WebshotsTray.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF NewBoySpy" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos

ms, 4-7-2006

Mensaje por **msc hotline sat** » 05 Jul 2006, 12:49

No nos ha enviado este:

C:\WINDOWS\supervisor.exe

Mire si lo encuentra, pues en los demas no hay rutinas viricas. Solo en el LLMODCL2.INF hay la eliminacion de la clave de valor AAACLEAN pero puede corresponder a funciones de los otros focheros de la miosma linea, que no son viricos

Por ello las sospecgas recaen sobre el indicado C:\WINDOWS\supervisor.exe, mire de localizarlo configurando el ver todos los ficheros, incluidos los de sistema, etc y si lo encuentra, nos lo dice y nos lo envia y lo analizaremos

saludos

ms, 7-5-2006

NOTA: Ademas, la informacion al respecto es significativa: http://startup.networktechs.com/srch-Supervisor.exe.html ms.