Problemas con VIRUS (CERRADO)

[isaacfocus]

Buenas y saludos a todos, tengo algunos problemas con algunos virus. os dejo lo que me posteo el kaspersky online y el hijacktick para que me orienteis. Gracias de antemano



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 10 de abril de 2007 19:33:01

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 10/04/2007

Registros en la base antivirus: 293693

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\



Estadísticas:

Número de objeros analizados: 97248

Virus encontrados: 2

Objetos infectados: 4 / 0

Objetos sospechosos: 0

Duración del análisis: 03:34:35



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012007041020070411\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\_restore{C92D3162-3436-424B-810B-575C372063B1}\RP5\A0001446.exe Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

D:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado

D:\Incoming\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr.rar/Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr/Nero-7.7.5.1_esp_trial.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch saltado

D:\Incoming\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr.rar/Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr/Nero-7.7.5.1_esp_trial.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch saltado

D:\Incoming\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr.rar RAR: infectado - 2 saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.









y aqui el hijactik



Logfile of HijackThis v1.99.1

Scan saved at 19:39:09, on 10/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Comodo\Firewall\CPF.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Escritorio\hijackthis\HijackThis.exe



O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Espero que os sirva y me podais ayudar

[isaacfocus]

a perdonarme tambien me da un problema el administrador de tareas, cuando lo abro me sale incompleto, con la parte de arriba quitada, la verdad es que es un poco rara. Y tambien el restaurar sistema no me va.Gracias

[msc hotline sat]

Dejese estar del kaspersky ONLINE y desactive la restauracion de sistema, arranque en modo seguro y lance el antivirus que tenga instalado en el ordenador y elimine los ficheros infectados. Ni el McAfee ONLINE ni el Kaspersky ONLINE, entre otros, limpian, y debe utilizarse el que se tiene instalado, arrancando en la forma indicada



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



saludos



ms, 10-04-2007



nota: logicamente tambien puede usarse el AV ONLINE recomendado, arrancando modo seguro con funciones de red, tras desactivar la restairacion de sistema: [url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

[MatrikX]

Aviso importante sobre programa Nero 7 premium infectado con troyano





Uno de sus archivos que pertenece al paquete de instalación bajado desde la web de Nero, contiene un ejecutable llamado Toolbar.exe, se ha confirmado que es un troyano, CUIDADO! cuando se empieza a instalar:

Pasos para evitar ejecutarlo:



Cuando empiezas a instalar el programa, una de sus ventanas te pregunta si deseas instalar la barra de busqueda ASK (ask.com) DEBES ELEGIR NO! porque es un programa considerado por la mayoría de los antivirus un troyano o software mal intencionado.



Aun no se sabe porque Nero ha elegido optar por este tipo de propaganda. Es mas, el usuario no es advertido del riesgo al que esta expuesto por este tipo de software, lo que obviamente ha desencadenado que usuarios que ya han tenido problemas con este tipo de programas, simplemente optar por otro tipo de programas similares a Nero.



El problema:



si el usuario sin saberlo opta por instalar la barra de ask.com, al querer des-intalarlo, queda en la raíz del sistema partes de este software, por lo tanto, empezaran las molestas ventanas sin que el usuario aya hecho algo para llamarlas, o pero aún la fuga de información desde tu computador hacia internet.

Por otra parte, este tipo de barras de búsquedas que se ven muy "monas" o lindas, no son mas que programas de #@¡?! que sacan información como password de usuarios, información bancaria, email, etc, etc, etc. las que luego son utilizadas por hackers.



Des-instalación:



Afortunadamente Kaspersky antivirus (mi antivirus) lo ha detectado antes que el archivo de instalación de Nero se ejecute. El problema es que al querer eliminar solo el archivo Toolbar.exe el que instala la barra de busqueda ask.com, no deja eliminarlo, solo se puede eliminar matando el programa entero, es decir, el paquete completo de Nero 7.

Kaspersky y ningún antivirus puede eliminar un archivo infectado que viene comprimido en un paquete de instalación, es decir, dentro de un instalador, por tanto, Kaspersky cuando lo detecta, le avisa al usuario que el archivo no se puede desinfectar por lo tanto le da la opción para eliminarlo, cuando eso pasa, el archivo lo mata completamente, es decir, el Nero 7.





Solución para quienes lo instalaron con la barra de búsqueda ask.com:



Ejecutar la des-intalación del programa Nero 7 premium desde el desintalador de windows,

luego, cuando se abra la ventana de des-intalación de Nero 7, elegir "Modificar" , luego en "Siguiente" y buscar los componentes que están instalados actualmente y elige "Barra de Busqueda de Ask" y marcarla, luego siguiente y aceptar.

SI NO APARECE ESTA OPCION, DEBERAS DESINTALAR EL NERO 7 COMPLETAMENTE.

Después de des-instalar la barra de busqueda Ask, deberás ejecutar el antivirus Karpesky o el Nod32 para que escanee todo el computador.

Luego has de limpiar el computador con CCleaner y Resgistry Mechanic, ambos tienen la opción de limpiar el registro, que es lo que también debes hacer.



Si aun asi tienes problemas, ejecutar el antivirus en modo "Aprueba de Fallos", luego realizar la busqueda manual de los siguientes archivos:

En Windows XP y 2000 ve a :

Inicio/Buscar/ARCHIVOS Y CARPETAS

Selecciona todos los discos duros que tengas, luego en la casilla escribe:

Toolbar.exe TBPS.EXE. PIB.EXE y RADIO.EXE

Uno por uno, si aparecen , eliminar el archivo, luego reiniciar en modo normal y probar si aún aparecen estos archivos.



Si no puedes eliminar los archivos, en modo a prueba de fallos Deberas hacer la busqueda en el registro de windows:



en Windows XP y 2000 ve a:

INICIO, EJECUTAR y escribe: regedit



Buscar los archivos mencionados anteriormente y ademas todo lo que aparezca mencionando la palabra ask.com, CUIDADO!! es una búsqueda selectiva, por tanto si te equivocas en eliminar del registro alguna palabra compuesta por algunas letras de lo que estas buscando, tendras problemas mas graves aún, SOLO DEBES ELIMINAR DONDE APARECE EXPLICITAMENTE LOS ARCHIVOS MENCIONADOS.

Por ejemplo, ask.com ww.ask.com, search ask, toolbar ask, etc.



Luego de esto, cierra el registro y ejecuta nuevamente el antivirus en modo "aprueba de fallos" y los programas CCleaner y Registry Mechanic, estos dos últimos en "modo normal".



SI AUN SIGUES TENIENDO PROBLEMAS, NO TE QUEDA OTRA QUE PEDIR AYUDA A ALGUIEN CON CONOCIMIENTOS EN COMPUTACION, DE LO CONTRARIO, FORMATEAR LOS DISCOS DUROS.



INSTALAR EL NERO 7 por primera vez:



Opcion fácil:

Desconectar de internet, cierra el antivirus o desactivarlo, luego:



Ejecutar el Instalador de Nero 7,cuando empieces a instalar, selecciona la opción de NO Instalar la barra de búsqueda Ask.com

Deja que se instalen los demás programas que tu hayas elegido, una vez terminado, inicia tu antivirus nuevamente.



Si tienes Kaspersky, es probable que sigan apareciendo alertas, pero es porque el Instalador de Nero 7 tiene ese archivo, pero no significa que el archivo se haya ejecutado o se haya instalado, porque con este método ese archivo no se ejecuta, si quieres que tu antivirus no muestre estas alertas, tienes 2 opciones, la primera es eliminar el instalador de Nero 7, es decir, todo.



La segunda opción y un poco mas tediosa, es esta:

(Solo para usuarios avanzados)



1º Debes tener instalado el programa Winrar

2º Desactiva el antivirus



Crea una carpeta con el Nombre "Nero 7 premium", mueve el archivo o el instalador de nero a esa carpeta

Botón derecho del ratón sobre el archivo luego "Extraer aquí", luego busca el archivo Toolbar.exe y elimínelo (no se te ocurra la gran idea de hacerle doble click!!!!) , después debes también eliminarlo de la papelera.

Ahora Activa el antivirus y ejecuta el scan directamente sobre esta carpeta, veras que no aparece nada.

también para que te quedes tranquilo, puedes escanear todo tu PC.



Para ejecutar la instalación de Nero 7, debes ejecutar el archivo SetupX.exe, la ventana en la que pregunta si quieres instalar la barra de búsqueda Ask.com ya no aparece, a cambio, deberás instalar todos los componentes que trae el Nero 7 premium. Después si quieres des-instalar las utilidades por separado.



IMPORTANTE:

Si eliges hacer la instalación por primera vez, pero solo de algunos componentes del Nero y no todo como te dije antes, la instalación se BLOQUEA Y NO TERMINA, SE QUEDA PEGADA, es una Joda!!! tendrás que ejecutar nuevamente el programa para des-intalarlo.



Este Truquillo yo ya lo probé y re contra probado. Haga exactamente lo que le digo!!!!



By MatrikX



IMPORTANTE:

Yo personalmente no tengo nada en contra de Ask.com ni de ni de los creadores de Nero, al contrario, ambos son muy útiles,

Lo que si me molesta, como consumidor y usuario de Internet, es que traten de darme algo por lo cual no he pagado ni he deseado.

Personalmente, se que es un toolbar.exe y se lo que significa lo molesto que es cuando mi computador no trabaja bien por culpa de estos software.

Aun sigo utilizando Nero y de vez en cuando utilizo ask.com para búsquedas, pero obviamente tomando algunas precauciones como las descritas anteriormente.