autorun en disco duro (Virus Visual Basic .bat)

JManzur · Mensaje por **JManzur** » 06 Abr 2007, 20:32

Hola, Saludos a todos.!! Les Escribo desesperado, para pedir ayuda con lo siguiente.. desde hace un tiempo al hacer doble clic en la unidad de disco duro se abría una reproducción automática, y al hacer clic derecho el el lugar donde debería estar “Abrir” aparecía lo siguiente ~~[b]~~´ò¿ª(O)[/b] y en el lugar de explorar ~~[b]~~xÊÔ’ 1ÜíAE%(X)[/b], y es algo bastante molesto..!! me gustaría saber como solucionarlo.. entre los datos que les puedo referencia es la aparición momentania (como un parpadeo) de 6 archivos de nombre "autorun" con diferentes extenciones .reg .txt .bat .vps y otros, logro eliminarlos pero reaparecen... todo esto comenzó a pasar junto con la aparición de un nuevo programa en mi pc de nombre "MSM guiños" (el cual ya elimine) Los antivirus y Anti-Spyware no detectan problema alguno, ya probé con: Avast, PER antivirus, Ad-Aware, AVG Antispyware y SUPERAntiSpyware.. YA NO SE QUE HACER.. mi pen drive tiene el mismo problema y a cada rato tengo formatearlo para no infectar a ninguna otra pc como ya hice... espero me puedan ayudar.. ni siquiera se si estoy en el lugar correcto del foro (de no ser así pido disculpas)..

aqui va mi log:

Logfile of HijackThis v1.99.1

Scan saved at 01:27:41 p.m., on 06/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SYSTEM32\wscript.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\LClock\lclock.exe

C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium\EDICT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Programas descargados\Limpieza PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/webhp?sourceid=navclient&hl=es&ie=UTF-8

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe

O4 - HKCU\..\Run: [E07EDXRC_32761140] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F23A6434-6B6F-463B-A60A-760D5D0191E7}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

La entrada ~~[b]~~F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat[/b] no se deja eliminar ya probe con el programa SDfix y nada..!!

Disculpen el inmenso testamento que acabo de escribir .. trato de explicar este rollo lo mejor posible..

Mensaje por **msc hotline sat** » 06 Abr 2007, 20:39

De entrada prueba el ELISTARA : (para lo del guiños, por si hubiera restos)

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y paso a analizar el log

Se ve que tienes instalado simultaneamente AVG y AVAST. Solo debe haber un antivirus instalado residente. Desinstala el otro:

[quote]C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe [/quote]

Y esta clave esta lanzando el autorun.bat en cuestion:

[quote]F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat[/quote]

Edita este AUTORUN.BAT y posteanos su contenido, a ver qué carga... seguro que será algun malware!

saludos

ms, 6-04-2007

Nota: mientras lanza el ELITRIIP , y explora todas las unidades:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Ojo con los pendrives, tras limpiar el ordenador, pulsa shift (mayusculas) cuando los insertes, para examinarlos, para que no se ejecute su AUTORUN si estan infectados y no vuelvan a infectar el ordenador

JManzur · Mensaje por **JManzur** » 07 Abr 2007, 00:23

Gracias por una pronta y efectiva respuesta.. bien, hice lo que me recomendaste y ya esta solucionado el problema.. incluso la entrada F2 desapareció.. con respecto a lo del AVG y el Avast solo tengo residente a el Avast el AVG esta inactivo y desactivado su entrada de inicio con windows.. solo lo tengo para escaneos..

Fri Apr 06 14:37:30 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 06 14:38:19 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.BAT --> Eliminado, Autorun.A (bat)

C:\AUTORUN.INF --> Eliminado, Autorun.A (inf)

C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\Motorola Phone Tools\MPT_TEST_INFO.EXE --> Eliminado, Shorty (dropper)

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar

C:\Programas descargados\Utilidades\3GP converter\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW

C:\Programas descargados\Utilidades\3GP converter\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

C:\WINDOWS\system32\AUTORUN.BAT --> Eliminado, Autorun.A (bat)

C:\WINDOWS\system32\AUTORUN.INF --> Eliminado, Autorun.A (inf)

Fri Apr 06 14:58:01 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

Fri Apr 06 14:58:20 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Programas descargados\Utilidades\Power DVD 6\Autorun.inf --> Infectado, BackDoor.CMQ (inf)

Fri Apr 06 16:19:14 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 06 16:19:53 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Fri Apr 06 16:20:04 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\AUTORUN.BAT --> Eliminado, Autorun.A (bat)

H:\AUTORUN.INF --> Eliminado, Autorun.A (inf)

Fri Apr 06 16:21:11 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Apr 06 16:21:14 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Este Otro log es el de mi laptop que tenia el mismo problema.. también solucionado, pero ahora me dice que faltan archivos de windows.. tiene instalado el Windows XP Extreme Edition III que es una versión de cierta forma reducida.. me da lata volverla a formatear.. ¿hay otra salida? en vista de que el disco de esa versión no trae un programa de instalación que permita reparar si no solo el buteable ¿Puedo reparar la instalación con un CD SP2 normal? Gracias y disculpa el abuso de por hacer doble tema..!!

Fri Apr 06 16:36:51 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 06 16:37:22 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.BAT --> Eliminado, Autorun.A (bat)

C:\AUTORUN.INF --> Eliminado, Autorun.A (inf)

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar

C:\WINDOWS\system32\AUTORUN.BAT --> Eliminado, Autorun.A (bat)

C:\WINDOWS\system32\AUTORUN.INF --> Eliminado, Autorun.A (inf)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\XPize\Backup\CMDOW.EXE --> Infectado, Tool-HideWindow

Fri Apr 06 16:43:10 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Apr 06 16:43:27 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Apr 06 16:44:43 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Apr 06 17:12:15 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 06 17:15:29 2007

EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mensaje por **msc hotline sat** » 07 Abr 2007, 11:49

Pues no se olvide los pendrives, y para examinarlos, introduzcalos pulsando SHIFT, pues sino le pueden volver a infectar el ortdenador...

y sobre este portatil, es raro que le falten ficheros...

Este podria ser un falso positivo,

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL

aunque es una barra que no tendria que impedir el arranque ??? ...

Es de lo unico que se puede quejar, pero no es propiamente de windows... Mira de reinstalar el Nero y nos informas del resultado, gracias

si regenera dicho fichero, no pases el ELISTARA hasta que nos lo hayas enviado como falso positivo y modifiquemos la cadena de deteccion, o pasalo desmarcando ELIMINAR AUTOMATICAMENTE

saludos

ms, 7-04-2007