Me infecte con win32/Rontokbro.gen@mm...ayuda

ateteum · Mensaje por **ateteum** » 13 Oct 2006, 03:44

Hola me contagie en la universidad por medio de la pendriver con este virus win32/Rontokbro.gen@mm y me contagie en mi pc de la casa y no se como desaserme de el si pueden ayudarme , le agradesco tengo nod32 y no lo detecta.

aqui esta algo para mostrar:

Logfile of HijackThis v1.99.1

Scan saved at 21:16:37, on 12-10-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

E:\Pen001\Antiespias\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duoc.cl/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.duoc.cl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.1.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{78036169-BA49-4A5F-AFB3-BC251F53AAD7}: NameServer = 10.20.1.10

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

:roll:

Mensaje por **msc hotline sat** » 13 Oct 2006, 07:09

Este virus es un gusano que se propaga masivamente por e.mail y que modifica muchas claves de registro no visibles en el log del HJT, por lo que tampoco se puede restaurar la normalidad con él, precisando un antivirus que lo controle (no le vale el NOD32 que tiene si no lo hace) y que elimine ficheros infectados y restaure todas las claves de registro modificadas

Una informacion al respecto de ello se puede ver en:

http://www.perantivirus.com/sosvirus/virufamo/rontokbroai.htm

No hemos tenido incidencias con dicho virus, por lo que no hemos necesitado hacer utilidad al respecto, pero si dice que se esta propagando en su universidad, envienos ficheros infectados y los analizaremos y la desarrollaremos.

A ver, en este log no aparece que use NOD32 sino McAfee y no se aprecian las claves visibles del virus en cuestion.

Diganos como lo ha detectado en su ordenador, y si solo lo ha copiado del pendrive, envienos muestra del fichero en cuestion para analizarlo

En tal caso empaquetelo en un ZIP con password VIRUS y envienoslo:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

lo que sí que t¡ene es un proxy instalado, a traves del port 8080, es consciente de ello ???

10.20.1.1:8080

y no conocemos este fichero sabe lo que es ??:

C:\WINDOWS\system32\escsrv.exe

saludos

ms, 13-10-2006