Problema con VIRUS en mi pc, (virus VBS:GEDZA)

kiltro · Mensaje por **kiltro** » 18 Abr 2007, 02:09

bueno baje de emule un capitulo de mi serie favorita Lost

resulta que tenia un virus

y solo me di cuenta porque cuando lo fui a abrir salio una alerta

de AVAST! mi antivirus y que mi pc estaba infectado

hice un scan y no paso nada bueno hoy dia hice otro scan para estar seguro ahora hice el scan en C:/WINDOWS

y aparecio esta sorpresita

[img]http://img261.imageshack.us/img261/8687/viruspk3.png[/img]

Me da 3 opciones:

ELIMINAR

RESTAURAR

EXTRAER

que puedo hacer? vi que el administrador puso como eliminar

este virus de semana santa pero con el MC affee

y no lo tengo y tengo miedo de desinstalar mi antivirus actual y instalar el Mcaffee por que el worm puede hacer algo...

segun entiendo los worm se multiplican pero no se si eliminarlo o no porque e sabido de que cuando los tratan de eliminar matan al antivirus o causan algo peor al pc

porfavor ayudenme! :cry:

Mensaje por **lucl** » 18 Abr 2007, 09:33

Bueno aun cuando el tema es un poco delicado, pasa el hijackthis y veamos esas claves, tranqui que haremos lo que podamos, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

Mensaje por **lucl** » 18 Abr 2007, 10:24

Y preocupada yo de como podremos quitarlo, comienza por si es que tienes nocion mas o menos de cuando te infectaste, por restaurar sistema a un punto anterior, y no olvides que los ejecutables que hayas creado desde entonces se perderan, pero creo que es un mal menor, si esto no funciona, desactiva la restauracion del sistema y con un antivirus actualizado, localiza las copias, que eliminaras, te dejo el link de uno

https://www.virustotal.com/es/

Si el antivirus no te lo borra es porque esta siendo usado en memoria, por lo que si tienes xp debes ir al administrador de tareas y terminar el proceso, y luego intentarlo de nuevo con el antivirus, si no sabes cual es el proceso que debes terminar, fijate bien en lo que te indica el antivirus , y ante las dudas nos copias detalladamente lo que te sale, y te ayudaremos, saludos

kiltro · Mensaje por **kiltro** » 18 Abr 2007, 21:49

[quote="lucl"]Y preocupada yo de como podremos quitarlo, comienza por si es que tienes nocion mas o menos de cuando te infectaste, por restaurar sistema a un punto anterior, y no olvides que los ejecutables que hayas creado desde entonces se perderan, pero creo que es un mal menor, si esto no funciona, desactiva la restauracion del sistema y con un antivirus actualizado, localiza las copias, que eliminaras, te dejo el link de uno

https://www.virustotal.com/es/

Si el antivirus no te lo borra es porque esta siendo usado en memoria, por lo que si tienes xp debes ir al administrador de tareas y terminar el proceso, y luego intentarlo de nuevo con el antivirus, si no sabes cual es el proceso que debes terminar, fijate bien en lo que te indica el antivirus , y ante las dudas nos copias detalladamente lo que te sale, y te ayudaremos, saludos[/quote]

baje el capitulo el domingo y lo abri el lunes ahi fue cuando lo abri salio el mensaje del antivirus q tenia un virus en mi pc

y al siguiente dia (ayer) recurri a scanear y aparecio este "worm"

kiltro · Mensaje por **kiltro** » 18 Abr 2007, 21:57

Logfile of HijackThis v1.99.1

Scan saved at 15:02:32, on 18-04-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\luis francisco\Escritorio\agente perrito yoshi biohazard\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://youtube.com/Gatoyoshi

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win

F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\Run: [Adelgazar] "C:\Archivos de programa\Adelgazar\adelgazar.exe" /autorun

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VoipBuster] "C:\Archivos de programa\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized

O4 - Startup: IMVU.lnk = C:\Archivos de programa\IMVU\gui1.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: Messenger Power Plus 8.1.lnk = C:\Archivos de programa\MSN Messenger\msnmsgr.exe

O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Search -

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\luis francisco\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.cl

O15 - Trusted Zone: *.google.cl

O15 - Trusted Zone: http://www.latinchat.com

O15 - Trusted Zone: http://www.meristation.com

O15 - Trusted Zone: *.ogrish.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://82.69.232.148/activex/AxisCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5011/mcfscan.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by20fd.bay20.hotmail.msn.com/activex/HMAtchmt.ocx

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter: text/html - (no CLSID) - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

pd: necesito formatear mi informacion? es que tengo muchas fotos importantes de paseos con mi familia que no quiero que se pierdan :cry:

Mensaje por **lucl** » 18 Abr 2007, 22:02

haz fix cheked a estas entradas

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

de todos modos hiciste lo que te sugeri con el antivirus online en mi anterior respuesta? no nos has comentado nada al respecto, pasate elistara no obstante en modo seguro y luego peganos el log que te dejara en C llamado infosat.txt, de momento tranqui, formatear es lo ultimo"!! saludos

http://www.zonavirus.com/descargas/elistara.asp

kiltro · Mensaje por **kiltro** » 18 Abr 2007, 22:09

[quote="lucl"]haz fix cheked a estas entradas

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

de todos modos hiciste lo que te sugeri con el antivirus online en mi anterior respuesta? no nos has comentado nada al respecto, pasate elistara no obstante en modo seguro y luego peganos el log que te dejara en C llamado infosat.txt, de momento tranqui, formatear es lo ultimo"!! saludos

http://www.zonavirus.com/descargas/elistara.asp[/quote]

ok le hice click a los dos y ahora pongo FIX CHECKED?

hmm y tengo otra duda no entendi muy bien lo que quieres

decir con antivirus online osea hago un scan de virus online y elimino lo que esta infectado?

Nuker · Mensaje por **Nuker** » 18 Abr 2007, 22:14

Complementa la eliminacion con estas:

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Search -

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%

\Network Diagnostic\xpnetdiag.exe (file missing)

O15 - Trusted Zone: *.ogrish.com

O18 - Filter: text/html - (no CLSID) - (no file)

Y pase Elistara tambien en Modo Seguro, para limpiar virus.

Elistara:

http://zonavirus.com/datos/descargas/78/elistara.asp

Al terminar el escaneo, te creara un log en Unidad C, con el nombre de infoSat.txt copia contenido y lo pegas aqui, para ver el resultado. Y nos comentas progreso en tu computadora.

Saludos.

Mensaje por **lucl** » 18 Abr 2007, 23:02

con las claves que te ha sugerido nuker, para que quites, haciendo fix cheked en ellas una vez seleccionadas, y pasando elistara, mira si hay algun cambio a mejor en tu pc, lo del antivirus online te lo decia para intentar quitar el virus con la restauracion de sistema desactivada, a ver si asi se limpiaba, saludos.

kiltro · Mensaje por **kiltro** » 18 Abr 2007, 23:16

edito-

algunas paginas se me ven un poco lentas o no cargan muchas

imagenes

como hago eso de MODO SEGURO?

y como desactivo restaurar sistema?

Nuker · Mensaje por **Nuker** » 18 Abr 2007, 23:54

Elimine las claves en ~~[b]~~Modo Seguro[/b].

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Para restaurar sistema:

Click derecho sobre icono MIPC, propiedades, restaurar sistema, desactivar restaurar sistema, aplicar, aceptar.

Nos comenta una vez hecho esto.