Virus destrozando mi maquina..ayuda urgente.

Blind_Jota · Mensaje por **Blind_Jota** » 14 Dic 2006, 07:41

He leido medianamente el foro pero no tengo mucho tiempo porque si sigo conectado en internet no voy a poder hacer mi trabajo directo, asi q disculpen si esto ya ha sido posteado.

Resulta que a partir de bajar un supuesto crack q al darle doble click se me instalaron estos PSGUARD o algo asi, los cuales supuestamente borre satisfactoriamente (Esos virus q se instalaban en la barra de tareas). Pero luego arraigo en traerme muchisimos virus mas...el problema de estos es que muchos no los puedo encontrar por mas que esten escondidos, el kapersky los encuentra pero no me deja ponerlos en quarentena ni borrarlos, solo puedo darle Skip. El spysweeper tampoco puede hacer nada, y esto poco a poco me esta destrozando la maquina porque no puedo apagarla, pasa un tiempo conectado en linea y se me cuelgan todos los programas...y esto me esta obligando a tener q apagar la maquina desde el CPU lo cual va a lograr romperme la maquina.

Entre estos nombres de virus los que he visto, que algunos los borro con Killbox pero vuelven a aparecer, o directamente ni existen, son:

Svcchost.exe

irdvxc.exe (desde el administrador de tareas debo pararlo 3 veces como proceso xq siempre vuelve)

system32/i (varias veces lo encuentra)

system32/o (varias veces lo encuentra)

system32/.exe

SYSTEM32/O

c:\u.exe

recsl.exe

Y tambien me encuentra como virus a svchost.exe. Otra cosa donde me encuentra varios adware es en System Volume Information.

Para darles la mayor informacion posible, el hijack this no me encuentra nada, el programa DelPSguard tampoco me borra nada...

En este momento estoy pasando otro scan de Kapersky. Espero que puedan ayudarme ::Help::

Saludos.

Mensaje por **msc hotline sat** » 14 Dic 2006, 07:52

Pues prueba estas dos utilidades:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Tras ello, si persiste algun problema, dinos cual y posteanos el log del HJT, pero lanzado tras reiniciar despues de pasar dichas utilidades y postearnos tambien el infosat.txt

saludos

ms, 14-12-2006

Blind_Jota · Mensaje por **Blind_Jota** » 14 Dic 2006, 10:36

Esto es lo que se encuentra dentro de InfoSat:

Thu Dec 14 05:18:44 2006

EliStartPage v12.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 14 05:19:26 2006

EliStartPage v12.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\7-Zip\UNINSTALL.EXE --> AutoExtraible

Thu Dec 14 05:22:09 2006

EliTriIP v2.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Dec 14 05:23:50 2006

EliTriIP v2.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390.EXE --> AutoExtraible

Los problemas, persisten, veo todabia virus q estan activados.

Mensaje por **msc hotline sat** » 14 Dic 2006, 11:52

Aparte del Backdoor CMQ qie detecta,os y eliminamos, nmos cuienta Vf la existencia de otros ficheros de los cuales uno es tipicamente otro virus,el SdBot, si bien puede ser de una variante del mismo no controlado (hay mas de 10.000 variantes ya conocidas de esta familia) y es concretamente el de nomnbre recsl.exe

Si todavía lo tiene, envienos muestra para analizar a zonavirus@satinfo.es anexando dicjo fichero e indicando en el texto del mail, como referencia, su nick en este foro.

Aparte, posteenos como respuesta de este Tema, el contenido del log del HJT generado asi:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, infornaremos

saludos

ms, 14-12-2006

Blind_Jota · Mensaje por **Blind_Jota** » 14 Dic 2006, 13:42

Bueno, al abrir el administrador de tareas y ver los procesos q estan corriendo noto que hay todabia un cmd.exe (que segun lei este archivo se ejecuta por comando de algun virus). Al igual q otro exe nuevo desconocido para mi llamado "alg.exe".

Kaspersky al iniciar una conexion con internet todabia me da aviso de que el archivo c:\windows\system32\o esta en funcionamiento y es imposible desinfectarlo o eliminarlo.

Aqui les mando mi log de HijackThis.

Logfile of HijackThis v1.99.1

Scan saved at 8:43:18, on 14/12/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\windows\System32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\windows\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\smax4.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\windows\system32\cmd.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\SpywareBlaster\spywareblaster.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe"

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [NVIDIA Display Driver Service] nvsvd32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = ?

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{032D66D2-C1A6-4F4B-8DA6-A8EB056860EC}: NameServer = 200.45.191.35 200.45.191.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{032D66D2-C1A6-4F4B-8DA6-A8EB056860EC}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: klogon - C:\windows\System32\klogon.dll

O20 - Winlogon Notify: WRNotifier - C:\windows\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe (file missing)

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

~~[b]~~O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\windows\System32\irdvxc.exe" /service (file missing)[/b]

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Mensaje por **msc hotline sat** » 14 Dic 2006, 14:18

Pues empieza por actualizar los parches de microsoft. Te faltan todos los del SP2 y posteriores !!! Lanza un wtndowsupdate,

Y envienos estos ficheros para analizar:

C:\windows\System32\irdvxc.exe

y elimine estas claves:

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tienes kaspersky y AVG instalados. Desinstala uno de los dos !!!

saludos

ms, 14-12-2006