Tengo los Antivirus inhabilitado PLEASE Help Meeee!

CuCuSiTa · Mensaje por **CuCuSiTa** » 24 Ago 2006, 22:42

Tengo los Antivirus inhabilitado PLEASE Help Meeee!

file Result?onfectio Patch
1-fymb9bvo.exe Trojan horse donloader.Ahent.ENJ C:\fym9nvo.exe
2-installer3.exe Adware Generic.GMD C:\Installer3.exe
3-MTE3DI60DoxN.exe Trojan horse donloader.Generic.HGT C:\MTE3DI60DoxN.exe
4-MTE3DI60DoxN.gnew Trojan horse donloader.Generic.HGT C:\ MTE3DI60DoxN.gnew
5-warebundlenewe.exe Adware Generic.GMS C:\ warebundlenewe.exe
6-Installer[1].exe Adware Generic.GMS C:\Documents and setting\jose\localsettings\temporarari Inetrnet Files\contenIE5\31wwh37\
7-MTE3DI60DoxN[1].exe Trojan horse donloader.Generic.HGT C:\Documents and setting\jose\localsettings\temporarari Inetrnet Files
8-RDFX.exe Trojan horse donloader.Small.56jC:\WIDOWS
9-taskdir.dll Trojan horse proxyBEE

Por favor necesito ayuda se me han instalado virus y trojanos en mi pc que me inhabilita todos los antivirus , no me deja abrirlos ,lo pude correr poniendo el cursor en My Computer , y me da que tengo todos estos virus , pero el antivirus esta inhabilitado y no los borra . En el Toolbar se me ha instalado una linea de busqueda con una pequena lupa .cada vez que escribo la palabra antivirus o virus tanto en IE o en cualquier documento automaticamente me lo cierra , por eso tampoco puedo entrar a cualquier antivirus on line .............PLEASE HEEELLLPPPPP!!

el hijackthis lo pude correr i...esperando que puedan ayudarme , HEEELLLLPPPPPP gracias

Logfile of HijackThis v1.99.0
Scan saved at 03:15:08 a.m., on 23/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\windfe.exe
C:\WINDOWS\Explorer.exe
c:\nwnmff_12.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\msclt.exe
C:\swsetup\Norton\setup.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Documents and Settings\jose\Local Settings\Temp\Temporary Directory 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Compaq
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe windfe.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,windfe.exe
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%206%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\jose\Application Data\Mozilla\Profiles\default\27ajpk7i.slt\prefs.js)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\RunServices: [DLINK dfe drivers for Windows NT] windfe.exe
O4 - HKCU\..\RunServices: [DLINK dfe drivers for Windows NT] windfe.exe
O8 - Extra context menu item: &AOL Toolbar search - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Búsqueda en Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Advisor - {C23D8BF6-40C7-4630-881F-244C7EE41F89} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD407225-0517-4DB4-9E49-23D5A4F2742F}: NameServer = 205.152.144.23 205.152.132.23
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - blank (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Mouse Hardware Sync - Unknown - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: Microsoft Client Services - Unknown - C:\WINDOWS\msclt.exe
O23 - Service: Windows Network Security Management Service - Unknown - C:\WINDOWS\system32\nsms.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service - Unknown - C:\WINDOWS\System32\wgareg.exe (file missing)

Mensaje por **msc hotline sat** » 25 Ago 2006, 08:34

Ruene antivirus de AVIRA y Grisoft simultaneos. Desisnstale uno de los dos !!!

Le faltan muchos parches de microsoft-lamncve un windowsupdate !!!

Está utilizando un HJT obsoleto. Actualicelo y siga las instrucciones y posteelo de nuevo tras eliminar la clave indicada

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Pero de entrada elimine estas claves:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - blank (file missing)
O23 - Service: Mouse Hardware Sync - Unknown - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: Microsoft Client Services - Unknown - C:\WINDOWS\msclt.exe
O23 - Service: Windows Network Security Management Service - Unknown - C:\WINDOWS\system32\nsms.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service - Unknown - C:\WINDOWS\System32\wgareg.exe (file missing)

y ENVIENOS MUESTRA DEL FICHERO MSCLT.EXE para su analisis y control, gracias

info: https://www.bleepingcomputer.com/startu ... 14874.html

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos
ms. 25-8-2006

nota: Para eliminar estas claves, arranqie en modo seguro, lance el HJT, marque la casilla de la izquierda de cada una y eliminmelas pulsando FIX CHECKED

CuCuSiTa · Mensaje por **CuCuSiTa** » 01 Sep 2006, 03:04

Hola amigo , gracias por contestarme , no habia podido entrar al foro , porque se me cerraba el explorer cada que aparecia la palabra Virus o Antivirus .

El virus que tiene mi PC, desabilita todos los antivirus y antiespy , pude acceder al panda antivirus pues un amigo me lo pudo pasar por messenger , corri el panda y me encontró como unos 30 troyanos que borro , pero un virus no lo pudo borrar y lo renombro , pero cuando pase el antivirus otra vez ahi estaba el virus y aunque lo renombro mas de cuatro veces , siempre aparecía , entonces decidí olvidarme de el y conectarme a internet , pero entonces cuando me conecte se me cerro la pc y me dio un mensaje que ese programa (el panda) no tenia permitido estar ahi , tuve que desintalar el antivirus para poder conectarme a internet , guarde la información del virus para ver si ustedes tienen algún parche para el , ahora no tengo ningún antivirus , y tengo miedo quedarme sin pc

aqui le pongo la informacion del virus y gracias si puede ayudarme

virus "JS/psyme.gen"
C:\1_vbs.vir

CuCuSiTa · Mensaje por **CuCuSiTa** » 01 Sep 2006, 05:47

Olvide decirle que corri el antivirus en modo seguro ...Snif Snif Snif

Mensaje por **msc hotline sat** » 01 Sep 2006, 09:54

Lo malo de este caso es que tienes un downloader o un dropper que te regenera el virus, pues si lo eliminaste en modo seguro y añ reiniciar vuelve a aparecer, es sintoma evidente de regeneracion

Posteanos log del HJT a ver si encontramos la madre del cordero, pues sino, por mas que matemos al cordero ...

nota: puedes lanzar el HJT arrancandop en modo seguro

CuCuSiTa · Mensaje por **CuCuSiTa** » 02 Sep 2006, 20:07

Hi

, yaa!! pude resolver el problema del dichoso virus , voy a contar como lo resolvi por si alguien tiene el mismo problema. Cuando termine de correr el antivirus , por accidente entre a My Computer y ahi vi un archivo del virus con su mismo nombre C:\1_vbs.vir , al parecer cuando el antivirus lo renombraba, el virus automaticamente se clonaba temporalmente en el drive c , y cuando se reiniciaba pues se reinstalaba , solo lo tuve que borrar con mouse derecho , delete .

Ya no tengo virus ni troyanos

, pero me dejo la pc con varias funciones que no puedo hacer , no podia abrir restaurar sistema porque me faltaba el framedyn , el cual busque en internet y lo instale y todo bien , pero el antivirus me manda un mensaje que se ha corrompido por que tengo el firewall de windows xp activo , segui las instrucciones para desactivarlo

control panel/network and internet connection/nerwork connection/dial up connection/properties/advanced

y cuando llego me dice

que windows connot display the properties, (the windows management instrumentation (WM) information migt be corrupted )al parecer me borro alguna propiedad del sistema y quizás usted sepa cual es y la pueda reponer.

El antivirus es por treinta días y tampoco lo puedo desintalar mientras se este corriendo el firewall de windows , please heelp meee .

Mensaje por **msc hotline sat** » 02 Sep 2006, 20:22

Entonces veo que el problema fue no tener desactivada la restauracion de sistema, que se indica bien claro en el TUTORIAL viewtopic.php?f=5&t=5370

Es una pena que lo hayas eliminado manualmente porque asi no has restaurado las claves de resgitro modificadas por el virus, lo que si que hubiera hecho el antivirus

Pero si nos enviaste la muestra como te pedimos anteriormente, tras analizarla implenentaremos en nuestras utilidades la restauracion de las mismas y ejecutandolas se normalizará el registro, de lo que informaremos en el foro, como siempre

Es que los virus de windows son aplicaciones instaladas que no deben borrarse simplemete eliminando el fichero malware ...

saludos
ms, 2-9-2006