Virus de todos colores.. :S

internauta · Mensaje por **internauta** » 30 Dic 2006, 23:00

Buenas a todos, mi ordenador la entrado algunos virus, me ha dado una especie de giños a la paginas web que por ejemplo esta estoy, por ahora todo me sale que esta eliminado, pero quizás hay algo mas que tendre metido aqui, el panda antivirus lo he pasado y ni se ha dado cuenta de nada, el cleaner el limpiador es solo para archivos temporales y cookies, pero por eso digo que algun virus se puede haber colado en otra carpeta pero del sistema.

Le pasado el Hijcakthis me a mostrado esto? quito algo sospechoso?.

Os lo agradezco si me podeis despejar estas dudaas. Feliz Navidad y 2007 a todos.

Logfile of HijackThis v1.99.1

Scan saved at 21:41:46, on 30/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vVX3000.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Real\RealPlayer\RealPlay.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Money\System\reminder.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe

c:\archivos de programa\panda software\panda antivirus + firewall 2007\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe

C:\Documents and Settings\koko\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = Wireless

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\koko\Escritorio\Accesos Directos\EliStarA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Reminder] C:\Archivos de programa\Microsoft Money\System\reminder.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://elmalakenho.spaces.live.com//PhotoUpload/MsnPUpld.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: MSCamSvc - Unknown owner - C:\Archivos de programa\Microsoft LifeCam\MSCamS32.exe (file missing)

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

internauta · Mensaje por **internauta** » 31 Dic 2006, 01:07

Hola de nuevo creo que dado al menos con un sitio que segun he visto lo hace ejecutar, es un dialer de cada tipo BWM (como se diga) ahora un HLD.

Pues bien ese programa se ejecuta en la carpeta, C:/Windows/Temp.

Esa carpeta Temp debe estar vacia no?, pues ahi es donde comienza a salir unos iconos y luego se abre una ventana, (negra y arriba con borde azul donde pone la direccion donde esta ubicado). Pero lo curioso es que mi antivirus Panda lo elimina...

Yo me sigo entendiendo que tengo que tener un programa que lo haga ejecutar pq molesta que salga ese avisito una otra vez.

Pasandole el elistara, me salta que hay un intento peligroso bloqueado, ademas me sale el aviso de intento de secuestro del internet explorer, me dice si permitir o denegar, pues eligo denegar y sale una otra otra otra... hasta que termine el analisis que le estoi haciendo con el elistara.

Luego al terminar la operación me sale un recuadrito, "Sistema infectado por el Vundo".

¿Donde puedo conseguir eliminar para siempre el bicho que esta o que tiene que estar escondido bien en mi PC?

Ni Panda, Ni Cleaner, Ni Elistara al menos avisa algo de troyano no es capaz.

Ayundenme por favor. Gracias.

Mensaje por **lucl** » 31 Dic 2006, 09:07

Hola mira pasa el elistara en modo seguro

ELISTARA : http://www.zonavirus.com/descargas/elistara.asp

tendras que hacerlo varias veces por algunas de las variantes del vundo, y otra cosa o cierras el panda o cuando te diga que una operacion peligrosa y tal DALE permiso al elistara si no no hay nada que hacer. Venga suerte y nos copias luego el log que te genere y asi te dira msc si estas limpio del todo, recuerda pasalo varias veces.

Mensaje por **msc hotline sat** » 31 Dic 2006, 09:12

aparte, eliminar estas claves:

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-12-2006

internauta · Mensaje por **internauta** » 31 Dic 2006, 16:45

He hecho casi todo lo que me habeis dicho, esto es mas dificil que encontrar una aguja en pajar para eliminarlo.

He arrancado en modo seguro (F9), y no apareció nada, lo primero que hecho es pasarle el cleaner al menos a limpiado pero cuando voy a C:/Windows/Temp me sigue apareciendo estos iconos que aunque los borro vuelven a aparecer al rato...

[url=http://imageshack.us]

[img]http://img169.imageshack.us/img169/1733/dibujo666666be0.jpg[/img][/url]

Luego salta esa ventana azul (cada unos 20 minutos) y sale el aviso de dialer eliminado...

[url=http://imageshack.us]

[img]http://img392.imageshack.us/img392/2417/dibujo3kh1.jpg[/img][/url]

Por cierto otra pista que al parecer habia dado es sobre la pantala oscura esa, me ponia una direccion donde se encontraba C:/Windows/System32/ntvdm.exe

*Ese archivo Ntvdm se encontraba alli, lo he eliminado pero aparece una y ota vez.

El elistara lo he pasado varias veces al menos detecta algo, lo que siempre sale cuando lo ejecuto que es una operación peligrosa bloqueada, y cuando lo pongo a rastrear salta con esto auque le de denegar o permitir no para de salir hasta que termine el rastreo del elistara que duraba unos 15 minutos.

[url=http://imageshack.us]

[img]http://img84.imageshack.us/img84/8257/3td1.jpg[/img][/url]

Cuando acaba de rastrear su tiempo

[url=http://imageshack.us]

[img]http://img460.imageshack.us/img460/6062/1tq9.jpg[/img][/url]

Luego sale otro cartel que dice, sistema infectado por el VUNDO.

Y luego otro cartel

[url=http://imageshack.us]

[img]http://img478.imageshack.us/img478/1095/dibujo3uy5.jpg[/img][/url]

Y por ultimo las claves he eliminado como me pediste, y el enlace no se demasiado como va porque nunca lo he hecho, enviar email no es nada del otro del mundo, lo que no se como se hace eso de indique como referencia "REF <nick que usa en el foro>" el resultado del Hijackthis? es lo que se refiere?....

Es que eso no se mucho del tema, por que mi antivirus seria mejor no desactivar nada por si las moscas del ataque que recibo cada media hora.

Saludos y Feliz Nochevieja

Mensaje por **msc hotline sat** » 31 Dic 2006, 19:45

Simplemente en el mail que envies las muestras haces constar tu nick, o sea pones como Tema : referencia "internauta"

saludos

ms, 31-12-2006

Mensaje por **lucl** » 31 Dic 2006, 19:48

HOla a ver, lo de intento de secuestro que el panda te dice por el uso del elistara es lo que te dije que DEJARAS pasar , te lo dice unas quince o dieciseis veces si no mal recuerdo, eso la version del panda 2007. Debes permitirle al panda que el elistara actue,si te pide el elinotfill descargalo

http://www.zonavirus.com/descargas/elinotif.asp

es complementario del elistara, asi que metelo en la misma carpeta. y pasalo luego a ver .Haz eso y luego nos cuentas como vas, recuerda lo de la operacion peligrosa y tal lo dice el firewall del panda, debes permitir el paso cuantas veces te lo pidan, o cerrar la proteccion automatica del panda desde la barra de herramientas mismamente, saludos.

Mensaje por **msc hotline sat** » 31 Dic 2006, 21:27

Mejor siempre desactivar cualquier otro antivirus residente antes de probar nuestras utilidades...

saludos

ms, 31-12-2006