problemas con virus T_T (SOLUCIONADO)

FALCON · Mensaje por **FALCON** » 21 May 2007, 10:24

nose que hacer tengo algo en mi PC que a veces sucede que toco la tecle "l" y se me cierra la sesion toco la "d" y se me minimiza todo es como que estuviera apretada la tecla windows pero no lo es no se que hacer porfa ayudenme inclusive cambie de teclado y aun seguia asi la unica forma de hacer que me dejara de pasar eso era cancelando unos procesos los cuales los elimine buscandolos y tambien los elimine del regedit porfa nose que mas hacer lo que me pidan lo mandare porfa ayudenme con este problema

PD: no es primera ves qu eme pasa la primera ves llegue a formatear mi PC u.u T_T porfa ayuda

PD: inclusive mientras escribia este post tuve muchos problemas =S

Mensaje por **msc hotline sat** » 21 May 2007, 10:27

No es conocida esta incidencia ???

Diganos el nombre de los procesos que eliminó del registro, para saber lo que ya ha hecho, y posteeno los del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 21-05-2007

nota : Se supone que ha pasado antivirus y demás, sino lance este ONLINE y nos informa del resultado: [url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

FALCON · Mensaje por **FALCON** » 21 May 2007, 10:33

me salio esto

Logfile of HijackThis v1.99.1

Scan saved at 3:38:48, on 21-05-2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Marth\CONFIG~1\Temp\Rar$EX00.032\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [IRC Client] mirc.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe

O4 - HKLM\..\RunServices: [IRC Client] mirc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [IRC Client] mirc.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22309615-6BC6-40EB-ABA6-5BAB74B485AB}: NameServer = 200.28.4.129 200.28.4.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{22309615-6BC6-40EB-ABA6-5BAB74B485AB}: NameServer = 200.28.4.129 200.28.4.130

O17 - HKLM\System\CS2\Services\Tcpip\..\{22309615-6BC6-40EB-ABA6-5BAB74B485AB}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Integrated Windows Authentication - Unknown owner - C:\Archivos de programa\Archivos comunes\System\MSIWA32.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

y si lo pase por el ad-ware y el nod32 actualizados los dos pero aun persiste y los procesos eran como "iesmn.exe" eran algo asi pero no me acuerdo exactamente pero eran algo parecidos a esos pero al parecer aun ahy algunos en el regedit =S por que como que se multiplico

Mensaje por **msc hotline sat** » 21 May 2007, 10:43

De entrada elimine estas claves:

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)

O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll (file missing)

y envienos muestra para analizar de los ficheros :

C:\WINDOWS\System32\algs.exe

mirc.exe

mssmpp.exe

(que supongo que estarán en la carpeta de sistema)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Aparte, actualice los parches de microsoft!!! le faltan todos...

[quote]
Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[/quote]

FALTA DE PARCHES SP1

INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

______________________________________

FALTA DE PARCHES SP2

Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.

saludos

ms, 21-05-2007

FALCON · Mensaje por **FALCON** » 22 May 2007, 00:11

estoy actualizando al servipack 1 y luego bajare el 2 pero no encontre este archivo

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

solo encontre uno que dice C:\WINDOWS\System32\alg.exe

y los otros dos ya estan eliminados de antes =P

FALCON · Mensaje por **FALCON** » 22 May 2007, 00:36

ya envie dos de los que me pediste

C:\WINDOWS\System32\algs.exe

mssmpp.exe

y el mirc.exe no lo encontre no lo encontro ni el buscador con respecto al primero no lo encontre asi que mande uno que le faltaba solo la "s" se llama alg.exe porsiacaso nose si les servira

FALCON · Mensaje por **FALCON** » 22 May 2007, 01:33

termine de instalar el primer servipack pero el PC se me puso mas lento =S que puedo hacer

Mensaje por **msc hotline sat** » 22 May 2007, 06:19

Debe instalarlos todos, y asi funcionar correctamente.

Sobre los ficheros enviados:

el c:\windows\system32\algs que carga en la clave del registro, puede ser de un conocido troyano:

http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4327

Como sea que no lo encuentra y quizas lo eliminó a medias, borrando el fichero pero no la clave, termine ahora la faena y elimine esta clave:

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

y si tampoco encontro el MIRC.EXE (pruebe con un Inicio-Buscar)

entonces elimine estas claves:

O4 - HKLM\..\Run: [IRC Client] mirc.exe

O4 - HKLM\..\RunServices: [IRC Client] mirc.exe

O4 - HKCU\..\Run: [IRC Client] mirc.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tras ello reinicie y nos comenta el resultado, gracias

saludos

ms, 22-05-2007

FALCON · Mensaje por **FALCON** » 22 May 2007, 07:19

una pregunta como logro encontrar

O4 - HKLM\..\Run: [IRC Client] mirc.exe

O4 - HKLM\..\RunServices: [IRC Client] mirc.exe

O4 - HKCU\..\Run: [IRC Client] mirc.exe

no estoy muy seguro =S

y aora bajare el segundo servipack para ver si me funciona bien mi Pc por que lo unico que me sirvio el servipack 1 fue hacermem mas problemas por que cuando pongo apagar el Pc me sale el cuadro de cerrar sesion y cambiar usuario y a veces no puedo abrir ningun programa ni mi Pc pero las demas acarpetas si

tambien mi antivirus el nod32 me a detectado dos veces ya unos virus pero estos son nuevos mira te voy a mandar lo sque me dice el log del antivirus

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

21-05-2007 23:59:26 AMON Archivo C:\WINDOWS\system32\msinnt.exe Probablemente desconocido NewHeur_PE (Virus) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

y este

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

21-05-2007 23:59:21 AMON Archivo C:\WINDOWS\system32\TFTP3404 Probablemente desconocido NewHeur_PE (Virus) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\System32\tftp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

ahy velos y dime que son porfa por que ya no se que hacer mientras voy a descargar el servipack 2

PD: si inclusive tengo que entrar con la sesion de mi hermana no con la sesion de administrador po rque la de administrador se me pega mas seguuido que la de mi hermana y lo malo que no tengo algunos privilegios con la sesion de mi hermana

Mensaje por **msc hotline sat** » 22 May 2007, 07:27

En el link que te indicabamos :

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ya se indica que para eliminar claves debes arrancar en modo seguro, lanzar el HJT, marcar la casilla de la izquierda de las claves que quieres eliminar y pulsar FIX CHECKED

Pruebalo y nos comentas el resultado, gracias

y envianos muestra de estos ficheros para analizar:

C:\WINDOWS\system32\msinnt.exe

C:\WINDOWS\System32\tftp.exe

y para enviarnos dichas muestras, tambien :

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-05-2007

FALCON · Mensaje por **FALCON** » 22 May 2007, 07:39

tambien voy a mandar otro virus que me aparecio con el nod32

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

22-05-2007 0:43:41 AMON Archivo C:\WINDOWS\system32\mssysroot.sys Win32/Rootkit.H (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\systembin.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana[/img]

FALCON · Mensaje por **FALCON** » 22 May 2007, 07:45

y cuando estaba bajando el servipack 2 me salio

[img]http://img171.imageshack.us/img171/811/dibujo12hy8.jpg[/img]

ya envie los que me pediste pero el ultimo que me salio no lo encontre ni siquiera con el buscador de windows

Mensaje por **msc hotline sat** » 22 May 2007, 07:47

Estas seguro de tener el windows original y registrado ???

ms.

FALCON · Mensaje por **FALCON** » 22 May 2007, 08:01

si es el que veni a con mi PC y lo compre en una tienda parece que al final no pasa nada por que era popr que tenia mas cosas abiertas y detras me salio algo asi que lo intentare de nuevo

FALCON · Mensaje por **FALCON** » 22 May 2007, 08:47

ya no te preocupes ya me funciono la instalacion del servipack 2 (gracias por tu perocupacion) asi que aora procedere a borrar las entradas que me dijiste

Mensaje por **lucl** » 22 May 2007, 09:16

Perdonad la intromision, si, algunas de las actualizaciones te viene una advertencia de que se debe instalar a solas, y el windows installer 3.1 es una de las que suele dar fallo pero si lo haces ella sola, y reinicias, se soluciona, saludos

Mensaje por **msc hotline sat** » 22 May 2007, 20:23

Independientemente, es importante que nos envies las muestras solicitadas para analizar, recuerdalo !!!

saludos

ms, 22-05-2007

FALCON · Mensaje por **FALCON** » 23 May 2007, 01:45

ayudaaa!!!!! porfavor elimine las claves que me dijiste y aora cuando inicio msn luego de un rato me aparece error en lsass o algo asi porfa dime que hacer =S y luego que toco aceptar me aparece esto

[img]http://img510.imageshack.us/img510/2636/dibujo1gr1.jpg[/img]

FALCON · Mensaje por **FALCON** » 23 May 2007, 05:34

al parecer ya se fue el virus le hice una restauracion al sistema y aora me funciona correctamente por lo que e visto no a dado ninguna falla ni nada

muchas gracias por todo y por ayudarme y explicarme cuando no entendia XD

se los agradesco mucho

=)

Mensaje por **msc hotline sat** » 23 May 2007, 10:28

Si las tiene, igualmente envienos las muestras, serviran para su control en el futuro

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Y lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 23 de Mayo de 2007