AUXILIOOOOO MI PC SE INFECTO CON W32.Myzor.FK@yf

mikelbq · Mensaje por **mikelbq** » 31 Ene 2007, 00:09

No sé que hacer. Ayudenme, le pase el antivir al pc y se eliminaron casi todos los virus que tenía por ahí, pero ahora no doy para eliminar el mensaje de alerta que anuncia el cuento del W32.Myzor.FK@yf, además, en vez de abrir mi navegador me abre la siguiente página http://aprotectedpage.com/. Si intentó abrir gmail.com me dice que debo instalar System Doctor y emite la siguiente dirección http://ie404error.com/

Le pase el HijackThis y este fue el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 04:49:07, on 31/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\ADRIANA SANTOS\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Archivos de programa\Video ActiveX Object\isaddon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Microsoft WWW] C:\WINDOWS\inet20126\free.exe

O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\inet20126\svchost.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RealPlayer] "C:\Archivos de programa\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://msuarezaramendiz.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7E8DC73D-69CD-4F67-99B1-8DC6E42F6246} (Atalasoft ImgXCtrl6.ImgXCtrl (CAB)) - http://aer.mcu.es/sgae/activeX/dfviewer.cab

O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F6C419B-BA4B-4E8A-ACE7-0115F40D2A2C}: NameServer = 200.89.96.4,200.89.112.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{2F6C419B-BA4B-4E8A-ACE7-0115F40D2A2C}: NameServer = 200.89.96.4,200.89.112.2

O17 - HKLM\System\CS3\Services\Tcpip\..\{2F6C419B-BA4B-4E8A-ACE7-0115F40D2A2C}: NameServer = 200.89.96.4,200.89.112.2

O17 - HKLM\System\CS4\Services\Tcpip\..\{2F6C419B-BA4B-4E8A-ACE7-0115F40D2A2C}: NameServer = 200.89.96.4,200.89.112.2

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_1vq.dll C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documentos\Settings\partnership.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O21 - SSODL: DCOM Server 3339 - {2C1CD3D7-86AC-4068-93BC-A02304BB3339} - (no file)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\ADRIANA SANTOS\~tmp0374.exe (file missing)

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Gracias de antemano.

Miguel

Nuker · Mensaje por **Nuker** » 31 Ene 2007, 00:54

Pasa esta herramienta (ELISTARA) en modo seguro, para una mejor limpieza, al terminar regresas a modo normal y te metes a mi Pc, Unidad C, y busca un archivo de texto llamado infoSat.txt, abrelo, copia contenido y pegalo como parte de tu respuesta, nos vuelves a pasar tu log de HJT, despues del escaneo de ELISTARA.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Comentanos tu resultado.

Mensaje por **msc hotline sat** » 31 Ene 2007, 08:17

Tienes muchas mas cosas, como downloader PUPER, una historia con el RPCC.DLL, y otra con un SVCHOST...

De entrada envianos este fichero para analizar:

C:\WINDOWS\inet20126\svchost.exe

y aparte del ELISTARA, copia en su misma carpeta estos otros dos, el ELINOTIF.DLL y el ELITRIIP, y primero ejecuta el ELITRIIP a ver si detecta este SVCHOST, y en cualquier caso luego pruebas el ELISTARA y reinicias EN MODO NORMAL, para que entre en marcha automaticamente el ELINOTIF

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Tras todo ello, reinicia y posteanos el contenido de c:\infposat.txt donde aparecerán los procesos y detecciones de todos los procesos indicados, y asi veremos si ha sido suficiente lo realizado

saludos

ms, 31-01-2007

nitrozboys · Mensaje por **nitrozboys** » 01 Feb 2007, 01:15

Disculpen yo tengo el mismo problema.

Pero le pasé el Panda Internet Security 2007, y ya neutralizo todo lo que habia pero el único problema es este:

- De Pagina principal pone la direccion

http://aprotectedpage.com/

Nota.- Mi navegador era google y cuando escribo http://www.google.com.pe en la barra de navegacion me lleva a la direccion dicha anteriormente. "aprotectedpage".

[img]http://www.imagemule.com/uploads/no_deja_navegarvCdB.png[/img]

Esto sale al navegar en gmail.

[img]http://www.imagemule.com/uploads/ie404errorojbN.png[/img]

Antes de pasar el Panda tenía el Nod32 y ahi ocurrio la infección, voy a probar los métodos que dicen ustedes, aunque capaz mi rpoblema tenga una solucion mas rápida, esperare.

Se los agradezco de antemano.

Nuker · Mensaje por **Nuker** » 01 Feb 2007, 02:52

TODOS LOS RESULTADOS DE LO QUE SE LE PIDA PUBLIQUELAS EN UN NUEVO TEMA, DADO A QUE ESTA EN UNO AJENO.

Prueba elistara en modo seguro, esta herramienta conocida por su restauracion de la "Start Page" podria resolver su problema, tengo entendido que tambien borra y restaura claves hechas por virus como el [color=red]Adware/PestTrap[/color] como el que se ve que todavia tiene en su ordenador.

Si esto no lo resuelve nos postea el log de HJT (HijackThis). En Modo Normal, ud. NO elimina nada, solo le da en Save and log file y copia contenido del bloc de notas y lo pega en ~~[b]~~SU [/b] nuevo tema. Al igual que el resultado que le generara elistara, este resultado lo podra sacar de Unidad C, con el nombre de infoSAT.txt, copie contenido y peguelo en su tema tambien.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

HJT:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

ACCEDIENDO AL MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 01 Feb 2007, 08:48

Y para mikelbq, que en un Tema paralelo (...) ha indicado tener problemas con la descarga del ELISTARA, que actualmente es accesible como las otras, se le recuerda que no solo necesita esta utilidad, sino que para el RPCC.DLL que tiene, ha de copiar en la misma carpeta del ELISTARA, el ELINOTIF.DLL que es el que, instalado en el registro por el ELISTARA, podrá, en el siguiente reinicio, eliminar la infeccion en este caso, y una vez conseguido desinstalará automaticamente dicha DLL.

saludos

ms, 1-02-2007