Virus desde Windows Media Player?

Jolene · Mensaje por **Jolene** » 28 Jun 2006, 10:55

Holas, tengo un problemilla. No sabemos qué ha pasado pero desde ayer, cualquier archivo o programa que abramos se intenta abrir con Windows Media Player.

Si le damos a cualquiera de los iconos del escritorio o intentando abrir un programa desde su propia ubicación, se nos intenta abrir con Windows Media Player.

He revisado las rutas de los accesos directos y las asociaciones de archivo (aunque aquí no sabía muy bien qué buscar..) y finalmente he pensado que tal vez podría tratar de un virus. No se me ocurre nada mejor...

También he intentado desinstalar pero en cuanto entro a "Agregar o quitar programas" se intenta abrir la rundll32 con el Windows Media Player también y me vuelve a dar error.

¿Alguien puede ayudarme? Gracias por adelantado.

Mensaje por **msc hotline sat** » 28 Jun 2006, 11:29

No sabemos de ningun virus que lo haga todavía, pero ...

Prueba ejecutar el ELIRESTR.VBS:

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

Y TRAS ELLO REINICIA Y NOS CUENTAS EL RESULTADO., GRACIAS

saludos

ms, 28-6-2006

Jolene · Mensaje por **Jolene** » 28 Jun 2006, 11:48

Y lo hice pero sigue igual. Nada mas arrancar windows ya me sale el wmp intentando abrir la rundll32 y sigue con el mismo problema intentando abrir otras aplicaciones. Me da que lo mejor va a ser que venga un técnico y formatee todo eso... (es un ordenador del trabajo, paso de cargármelo del todo...)

Anda! Nuevas noticias, si en vez de doble click se hace click derecho sobre el icono o el acceso directo del programa y se da a "ejecutar como..." y luego se desactiva la protección de datos, entonces sí que arranca normal. ¿Qué hago ahora?

Mensaje por **msc hotline sat** » 28 Jun 2006, 12:06

Posteenos el log del HJT, aunque posiblemente las claves al respecto no sean mostradas en el log, pero si lo ha ocasionado un intruso lo veremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 28-6-2006

Jolene · Mensaje por **Jolene** » 28 Jun 2006, 12:34

Éste es el resultado que me da:

Logfile of HijackThis v1.99.1

Scan saved at 12:34:11, on 28/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Ahead\Nero StartSmart\NeroStartSmart.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ahead\nero\nero.exe

C:\WINDOWS\system32\imapi.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://msg.edit.yahoo.com/config/reset_cookies?&.y=Y=v=1%26n=99jt2ke30u5n6%26l=ekji834hsxq/o%26p=f2jvves013000000%26iz=34004%26r=9i%26lg=us%26intl=us&.t=T=z=923VEB98MWEBW2vZS.LvkNwNDZOBjU3MzE3MzMxNDQ-%26a=QAE%26sk=DAAPcomSR7fMRu%26d=c2wBTXpFNUFUSXdORFl3TkRRMk16TS0BYQFRQUUBdGlwAVViQklQQQF6egE5MjNWRUJnV0E-&.ver=2&.done=http%3a//es.rd.yahoo.com/messenger/client/%3fhttp%3a//es.rd.yahoo.com/messenger/client/*http%3a//es.mail.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\ypager.exe" -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://pcpitstop.com/antivirus/PitPav.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BDFB76BF-BF05-4810-A714-E30AE557F671}: NameServer = 62.42.230.24,62.42.63.52

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Saludos!

Mensaje por **msc hotline sat** » 28 Jun 2006, 15:07

Entendiendo que esta aplicacion residente debe ser un driver de impresora voluntario:

C:\WINDOWS\system32\CNAB4RPK.EXE

No hay mas ficheros ni claves desconocidas dignas de mencion.

Como servidor de dominios el de ONO es normal y la clave que se podría eliminar sin importancia es esta de Symantec, probablemente de un antivirus ONLINE:

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

POr otro lado, para optimizar los recursos, podrían eliminarse estas claves no imprescindibles:

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] \"C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe\" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Pero todo ello no es virico y no afecta a la falta de asignacion de la aplicacion correspondiente para la extension de los ficheros que se quieren ejecutar. Ello si alguna utilidad podia restaurarlo es la ELIESTR.VBS, pero si ejecutada y aceptados los cambios no ha hecho nada...

Pruiebe por si fuera el caso, de arrancar en modo seguro, ejecutar el ELIRESTR.VBS y ver si arrancando de nuevo en modo seguro funcionan o no las aplicaciones... Podrñia ser que el ELIRESTR lo corrihoera y otra aplicacion al arrancar normal, lo volvoera a fastidiar, tras hacer la prueba, comentenos el resultado, gracias

saludos

ms, 28-6-2006