Virus nuevo...por ayudenme...........(SOLUCIONADO)

[crashban]

Hola soy nuevo en el foro, mi nombre es DAvid, y quisiera contar mi historia, para ver si alguien ya a sufrido mi terrible tragedia y me ayuda a eliminar un virus que ha destruido mi sistema:



1. en primer lugar creo que es un gusano por que solo se reproduce dentro del sistema y luego ejecuta procesos que cargan la memoria y dejan a mi pc fuera de combate.



2. Crea una carpeta: Data\resources\ , en carpetas como:



C:\Archivos de programa\Firefox\Data\resources\

C:\Archivos de programa\Winamp\Data\resources\

C:\Archivos de programa\Internet Explorer\Data\resources\

.

.

.

En general la crea en cualquier lugar de archivos de programa donde encuentre un ejecutable.



3. Dentro de esta carpeta, coloca un ejecutable que me imagino es el virus real, pero el problema es que toma el nombre de la aplicación dueña de la carpeta de mas arriba, es decir si la coloco en C:\Archivos de programa\Firefox\Data\resources\ , entonces el ejecutable se llamara firefox.exe, y asi con todos los programas.



4. Redirecciona cualquier acceso Directo que vaya al programa orginal hacia el programa falso, es decir, al que esta en la carpeta Data\resources.



5. Cada vez que ejecuta el programa logra escalar mayor contaminación..



Esta es mi historia y día a día mi computador esta mas lento...yo se que tendré que formatear en algún momento pero pensé que antes podría darle la batalla a ese virus tan maldito...en fin espero cualquier sugerencia por favor ayúdenme...



PD: ningun antivirus hasta ahora me ha ayudado, y he probado dos de los mejores: NOD32 y bitdefender...

[msc hotline sat]

Pues envianos algunos de estos ficheros infectados (2 o 3) junto con los correspondientes originales, para lo cual renombra la extension de los infectados a .VIR y los envias en un ZIP, anexado a un mail dirigido a zonavirus@satinfo.es indcando como referencia el nick que usas en el foro



Los analizaremos e informaremos



saludos



ms, 11-11-2006

[crashban]

En realidad ya he intentado eso y la bendita carpeta que contiene el programa de infección no se deja ni copiar, ni ver, ni eliminar, y la verdad no es posible agarrarla con winzip o winrar, asi que la petición de enviar los archivos infectados es casi que imposible, ni siquiera en modo seguro puedo verla o copiarla, la verdad esto me tiene muy preocupado, por que como creo que ya dije, he probado con bitdefender y nod32 y ninguno de los dos detecta nada pero el computador esta mas y mas lento cada día...la única forma en la cual ustedes me pueden ayudar es buscando el nombre de un virus que:



1. Crea una carpeta de nombre Data\resources\ , en las carpetas de archivos de programa de mi sistema.



2. Dentro de esta carpeta, coloca un ejecutable que me imagino es el virus real, pero el problema es que toma el nombre de la aplicación dueña de la carpeta de mas arriba, es decir si la coloco en C:\Archivos de programa\Firefox\Data\resources\ , entonces el ejecutable se llamara firefox.exe, y asi con todos los programas.



3. Redirecciona cualquier acceso Directo que vaya al programa original hacia el programa falso, es decir, al que esta en la carpeta Data\resources.



4. Cada vez que ejecuta el programa logra escalar mayor contaminación..



Es lo máximo que puedo decirles, y pienso que con esas características la única ayuda que me pueden brindar es investigando la existencia de algún programa de virus que haga lo ya descrito, y luego yo conseguirle alguna herramienta removal, para quitarlo de mi sistema...muchas gracias por su respuesta y espero una próxima con mayor información...gracias...

[msc hotline sat]

Eso ya lo hemos hecho de entrada, y no hay datos al respecto (ademas, si asi fuera, ya te lo detectaria el antivirus)



Arranca en modo seguro con funciones de red, para eludir la carga de este bicho, y lanza el HJT y posteanos el log:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 11-11-2006

[crashban]

He hecho lo que uds dijeron pero la verdad de entrada no hay ningún proceso raro eso lo tengo claro sin embargo se los envíos su experiencia es mayor que la mía:

---------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 02:38:38 p.m., on 11/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

---------------------------------------------------------

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Java\jre1.6.0\bin\jusched.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Cacheman\Cacheman.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\program files\COSMOS\Cosmos.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe

C:\DOCUME~1\David\CONFIG~1\Temp\Adobelm_Cleanup.0001

C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\David\CONFIG~1\Temp\Adobelm_Cleanup.0001

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\David\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.6.0\bin\jusched.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Cacheman] C:\ARCHIV~1\Cacheman\Cacheman.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerU\Kyescan.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5355F6-C038-4B81-B485-B3D7298E5D14}: NameServer = 200.75.51.132 200.75.51.133

O20 - AppInit_DLLs: CLKERN.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\apache\Apache.exe" --ntservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe



----------------------------------------





Este es el log del sistema por favor espero que encuentren algo, por que uds son mi ultima esperanza...

[msc hotline sat]

No parece que haya arrancado en modo seguro como se le ha dicho...



De lo posteado solo cabe eliminar estas claves:





O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)



O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)





y sugerimos desinstalar el DAP... y el KyeScan ???



Luego mire si puede llegar a la carpeta indicada y enviarnos las muestras pedidas. Son imprescindibles para poder seguir ayudandole !



saludos



ms, 11-11-2006



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[crashban]

tienen razón, en estos momentos estoy trabajando en contra del tiempo, ya que por compromisos académicos no puedo parar de trabajar...así que no hay tiempo para hacer el inicio en modo a prueba de fallos, sin embargo, he logrado detener de alguna forma al bicho ese cargando un punto de restauración del sistema, parece que no ha cargado como antes, mis programas están trabajando normalmente, sin embargo para salir de dudas haré lo que uds me sugieren pero creo que tendré que hacerlo en uno o dos días, sin embargo espero no perder su atención, ya que de verdad es un bicho muy raro.



Con respecto a lo de la carpeta infectada, me es imposible sacarla, por lo menos por ahora, ya que he cargado un punto de restauración la carpeta ha desaparecido, por lo que desconozco su ubicación, pero estoy seguro que en algún momento se revelar de nuevo así que estoy pendiente y apenas puede enviare los datos, para mi es muy importante...



Gracias por la ayuda y la atención de verdad me alegro de que existan grupos como el de uds, toman en serio las peticiones de la gente y de verdad merecen mis agradecimientos y mis respetos...



PD: EL keyscan es un proceso encargado de verificar si tengo ó no instalado un escanner

[msc hotline sat]

Si lo ha solucionado restaurando a un punto anterior, lo celebramos, pero ha perdido la posibilidad de investigar la causa para ebniyatlo en el futuro.



Entendemos sus prisas, pero otra vez si pide ayuda siga las indicaciones, sino perdemos el tiempo !



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms. 11-11-2006