Al parecer nuevo virus??help!!!

[FsLuiS]

El problema es el siguiente:



1. usb no se abre adecuadamente me sale el famoso "Abrir con"

2. La disketera se activa al apagar, reiniciar la pc

3. Al ejecutar el Elistara me sale: la imagen explica todo..



http://img292.imageshack.us/img292/2264/elistarayq2.jpg





Wed Aug 08 22:30:57 2007

[b]EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.[/b]

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Detectado AUTORUN.INF en la Unidad (G)

open=pcjhvyj.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Aug 08 22:31:09 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 08 22:33:12 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Aug 08 22:33:17 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\





[b]Logfile of HijackThis v1.99.1[/b]

Scan saved at 10:34:48 p.m., on 08/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\Notepad.exe

D:\Utilitarios\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCC11AD-6732-4D8C-B229-1237558D86F3}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe





Desde ya se agradece la ayuda .....

[msc hotline sat]

Evientemente, igual que en la imagen, el ELISTARA informa en el infosat.txt lo que hace al caso:



"Detectado AUTORUN.INF en la Unidad (G)

open=pcjhvyj.exe"



Envienos dicho fichero para su analisis e inclusion en la siguiente version del ELISTARA:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Pero de entrada, renombre la extension de este fichero a .VIR para que en el proximo reinicio no se ponga en marcha.



Ademas, para ganar tiempo, envie este fichero al VirusTotal:



https://www.virustotal.com/es/



y nos postea el resultado del analisis, asi sabremos de qué virus se trata.



aparte, del log del HJT cabe indicar:



Hay una clave sospechosa, pero puede ser un driver de una web cam ???



O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe



Si tiene instalada una, deje estar la clave, sino, eliminela.



Y pos supuesto, cuidado con los pendrive, pues parece que este nuevo especimen se propaga a traves de dichas unidades.



Una vez renombrado el fichero, cuando inserte cualquiera de sus pendrives, hagalo pulsando simultaneamente SHIFT (mayusculas) para que no se autoejecute el AUTORUN.INF que pudiera lanzar el virus e infectar de nuevo el ordenador.



Evidentemente convendría eliminar dicho fichero de sus pendrives, para que asi no pudieran infectar mas hasta que se controlara con las utilidades o/y antivirus, y lo limpiaran automaticamente.



saludos



ms, 9-8-2007

[msc hotline sat]

He encontrado mas informacion al respecto que puede interesarte, para eliminar 5 ficheros relacionados con el mismo:



http://spywarefiles.prevx.com/RRAHEC41491762/PCJHVYJ.EXE.html

[FsLuiS]

Hice lo indicado pero aun tengo el problema del USB y la disketera, al parecer pude eliminar el virus, tenia el nombre de (Win32/Brontok.AT worm) y ahora al pasar el antivirus y el elistara no detecta nada como si estuviera limpia la pc, pero sospecho ke aun hay virus por el motivo del USB y disketera que siguen funcionando inadecuadamente.

Porfavor si a alguien le pasa lo mismo me ayude, pues ya no se ke mas hacer



PD:el virus lo elimine con mi antivirus NOD32, se propago muy rapido puesto ke fueron mas de 67 archivos infectados.. :(



Confiando en utds

[lucl]

una pregunta hiciste esto que te recomendo msc?





Una vez renombrado el fichero, cuando inserte cualquiera de sus pendrives, hagalo pulsando simultaneamente SHIFT (mayusculas) para que no se autoejecute el AUTORUN.INF que pudiera lanzar el virus e infectar de nuevo el ordenador.



Evidentemente convendría eliminar dicho fichero de sus pendrives, para que asi no pudieran infectar mas hasta que se controlara con las utilidades o/y antivirus, y lo limpiaran automaticamente.



es muy importante, sobre todo lo de los pendrives, insertalos todos uno por uno y pulsa shift como se te indica y pasa elistara para que haga limpieza, si no haces eso no lo quitaras del todo, y si lo renombraste a .vir no deberia activarse en cada reinicio, asi que dinos si lo hiciste o no, saludos

[FsLuiS]

Si, hice lo indicado no renombre solo lo elimine osea borre el archivo infectado de la pc y el pendriver, bueno no hay virus al parecer en ninguna de las unidades mencioadas pero aun tengo el problema siguiente:

1.pendriver al intentar abrir sale el famoso [b]Abrir con[/b]

2.Pc al reiniciar, apagar, cerrar secion se activa la disketera

eso es lo raro

pd1:Quize renombrar el archivo pero ya no lo encuentro, lo elimine

con el antivirus :(

Pd2: esperando actualizacion del elistara y demas, confiando en utds Gracias....

[FsLuiS]

Disculpen aun tengo el autoruin.inf en mi pendriver ,quer lata. :cry:

y ahora si hice todo lo indicado... pero nada



Gracias

[lucl]

bueno vamos a probar otra cosa, pasa de nuevo el elistara, y añade ademas elitriip, inserta el pendrive en tu conexion usb y demas pero arrancando el pc en modo de fallos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





aparte msc te indico



[b]Hay una clave sospechosa, pero puede ser un driver de una web cam ???



O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe



Si tiene instalada una, deje estar la clave, sino, eliminela. [/b]



dinos si tenias la web cam, y si en cualquier caso la subiste a virustotal para su analisis



https://www.virustotal.com/es/



me comentas, y peganos el log de los nuevos analisis, y no desesperes que podremos con ello, saludos

[FsLuiS]

Avanzando..., ahora solo tengo el problema de la disketera ..

gracias por la ayuda, tengo un poco de alivio ^^





Se agradece