virus, aparecieron 4 cuentas de usuario nuevas (SOLUCIONADO)

[D.o.S.]

Hola a todos, les cuento que es lo que tiene mi comu y aver si alguien me puede ayudar a encontrar una solucion sin necesidad de formatear la compu.

El primer mal signo que mepezo a tener mi compu fue que el solucionador de problemas no le aparecia la aprte de arriba y cuando ponia en ejecutar msconfig me salia que ese cmabio no me estaba permitido porque yo no era el administrador del sistema pero aun asi ejecutaba el cmabio. Entonces no le di mucha bola a eso.

Despues yo tengo instalado en la compu el mc caffe como antivirus y un dia d ela nada no s epodia abrir el centro de seguridad y pense que se habia malogrado algo del programa y no era nada serio xq ya me habia sadao eso antes y tampoco le di importancia.

Fue pasando el tiempo y aun me funcionaba la compu, a veces me parecia que tenia algo que andaba mal pero no crei que fuera ndad enverdad importante. Y un dia decido pasarle el antiviurs el scan de mc cafee y sale un virus llamado joy algo y derepente se apaga la compu, la prendo y me salen cuatro nuevas cuentas de usuario y tdas esas nuevas cuentas con contraseña. Entro a mi cuenta y todos los programas no se podia abrir con exepcion del word que es version 2007, cuando hacia doble click en algun icono para abrir algun programa me salia que no encontraba con que abrirlo y si deseaba buscra yo misma con que abrirlo o acceder a internet para encontrar el programa que lo abra y tampcoo me dejaba cerrar las ventanas que abria en mis docuemnto o mi pc diciendome de que yo no tenia eprmiso para realizar esa accion.



Todo eso le paso y despues de mucho pensar e intentar de todo logre instalar el nod32 en la compu y pasarlo pero no detectaba ningun virus y ai programas en los que salia error en abrir programa e programa esta bloqueado, pero al lograr instalar algo en la compu que me costo mucho me di cuenta de que poniendo click derecho en el icono del programa que queria abrir y poniendo abrir con.... y examinar y buscando yo misma la ubicacion del programa corespondiente al icono donde hize click lo podia abrir.



Alguna eprsona que tenga idea de que es lo que se le metio a mi compu si es un virus o un spyware o no se que, y que s ele ocurrra alguna forma de solucionarlo.



Les digo los antivirus que ya le e pasado a a compu porque otras de las cosas que intente fue poner el dico de mi compu como esclavo de otra y apasarle antivirus le pase el nod32, avg, panda y perantivirus y solo el avg me detcto 2 spyware los demas no me detectaron nada.



Tambien en la compu no tengo acceso a cuentas de usuario, ver informacion del sistema, ni ninguna d elas cosas que estan relacionadas con rundll32.



se me olvidadba cunado le pasaron un scaner online salieron algo de 12 spyware.



Como veran mi computadora esta ne graves problemas, si a alguien se le ocurre algo que pueda hacer que no sea formatear, s elo agradeceria mucho.

[lucl]

pues ejecuta el hijackthis y veamos que hay en el pc, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[D.o.S.]

Logfile of HijackThis v1.99.1

Scan saved at 3:31:17, on 09/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Vivotek\ST3402\Launcher_VV.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\Vivotek\ST3402\Monitor_VV.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ESET\nod32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

C:\Archivos de programa\KWorld Multimedia\PVR-TV 7131 Utilities\P3XRCtl.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTACL.EXE

C:\WINDOWS\system32\SearchFilterHost.exe

C:\Archivos de programa\7-Zip\7zFM.exe

C:\Documents and Settings\DOS\Mis documentos\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [sys] C:\WINDOWS\autostart_.bat\ >> autostart.bat

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\archicad\archicad.exe" --force_start_minimized

O4 - HKCU\..\Run: [microsoft] C:\WINDOWS\microsoft.bat

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: MyVitalAgent.lnk = C:\Archivos de programa\INS\VitalAgent\Program\VtlAgent.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\KWorld Multimedia\PVR-TV 7131 Utilities\P3XRCtl.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by122fd.bay122.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://192.168.1.99/plugin/h263ctrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{28461F09-78CF-41C6-B207-A4D88B9619AF}: NameServer = 10.0.0.2,200.45.191.40

O17 - HKLM\System\CCS\Services\Tcpip\..\{EF11BFF2-95FA-4422-9BE3-A401C746FE18}: NameServer = 172.16.0.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: winqgn32 - winqgn32.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Vivotek ST3402 Launcher (Vivotek_ST3402) - Vivotek Inc. - C:\Archivos de programa\Vivotek\ST3402\Launcher_VV.exe

[D.o.S.]

Ya no analize con el Hijackthis, ahora que se supone que haga, yo no entiendo casi nada sobre lo que sale. :(

[D.o.S.]

me olvidaba gracias de anemano por la ayuda que me puedas dar.

[msc hotline sat]

Lo primero que has de hacer es desinstalar uno de los dos antivirus, NOD32 o McAfee, pues no deben estar instalados los dos simultaneamente.



Aparte, tienes ficheros sospechosos y otros malwares, que si no los han detectado los antivirus, quizas es por tratarse de variantes no controiladas:



Envianos estos ficheros para analizar:



C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTACL.EXE



C:\Archivos de programa\Vivotek\ST3402\Launcher_VV.exe



C:\Archivos de programa\Vivotek\ST3402\Monitor_VV.exe





y este otro envianoslo tambien, pero ya es reconocido como troyano, por lo que ademas de enviarnos muestra, renombra la extension a .VIR para que en el proximo reinicio ya no se ponga en marcha:



C:\WINDOWS\system32\server.exe



Ver : http://www.bleepingcomputer.com/startups/startkey-13700.html



y por si ya fuera una de las variantes conocidas, prueba el ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso









Aparte elimina esta clave:



O20 - Winlogon Notify: winqgn32 - winqgn32.dll (file missing)





y tiene esta clave que apunta como servidor de DNS a una IP privada, si no la conoce, eliminela tambien:



O17 - HKLM\System\CCS\Services\Tcpip\..\{EF11BFF2-95FA-4422-9BE3-A401C746FE18}: NameServer = 172.16.0.1





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y voy a mirar el ultimo DPF que no es normal, a ver si es malicioso...



.Es una descarga de una IP privada que no se encuentra, asi que tambien puede eliminarse:



O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://192.168.1.99/plugin/h263ctrl.cab





saludos



ms, 9-05-2007

[D.o.S.]

busque el archivo: C:\WINDOWS\system32\server.exe pero no aparece, aparece uno llamado services.exe

[msc hotline sat]

No, el services.exe es otra cosa.



Pues prueba el ELITRIIP :





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



a lo mejor es un viejo conocido...



saludos



ms, 9-05-2007

[D.o.S.]

no puedo eliminar ningun programa en la compu, entro a panel de control y despues hago click en agregar y quitar programas pero, no me deja entrar.

[msc hotline sat]

Ni se te pide que lo hagas ...





Descarga este y pruebalo:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



ms.

[D.o.S.]

Wed May 09 10:24:51 2007

EliTriIP v3.52 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Microsoft"="C:\WINDOWS\microsoft.bat"

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\system32\server.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\system32\server.exe"

ALERTA. WindowsUpdate Incompleto.



Wed May 09 10:25:33 2007

EliTriIP v3.52 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[D.o.S.]

exploro todo C y no encontro nada, aunque habia carpetas a las que decia que tenia acceso denegado, como c/windows/A?pPatch(16)

[msc hotline sat]

No se han detectado rutinas viricas en los tres ficheros enviados.



Pero te faltan actualizar parches:



ALERTA. WindowsUpdate Incompleto.





LANZA UN WINDOWSUPDATE !!!



ms.

[D.o.S.]

ya le lanze las actualizaciones, pero ai una que es para identificar si el windows es original y esa no la puse, porque no es original mi windows. que mas puedo hacer.



Gracias por toda la ayuda dada.

[msc hotline sat]

Entonces ya sabes la causa !



Adquiere S.O. legal e instala todos los parches



En consecuencia damos por solucionado este Tema y procedemos a cerrarlo



Y recuerda que no damos soporte a sistemas operativos ilegales o programas pirateados !



saludos



ms, 9-05-2007