Un virus me quiere formatear

Responder
juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Un virus me quiere formatear

Mensaje por juancar5 » 03 May 2008, 21:19

Hola Tengo un discoduro externo con conexion USB de 500 GB y todo empezo cuando una carpeta con archivos de fotos me decía que tenia que formatearla cuando la intentaba abrir ahora es todo el disco y la verdad tengo un buen montón de datos que quisiera salvar ¿que tengo o puedo hacer?.

Muchas gracias por vuestro tiempo.

Juan Carlos Crespo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 03 May 2008, 21:38

De entrada vamos a ver si vemos de qué virus se trata.



Lanza este AV ONLINE y nos posteas el resultado:



[URL=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=
darknesred][b] SOLO TESTEO AV ONLINE[/b][/color]
[/URL]




NOTA: Y de las opciones a escanear, escoger MIPC, para

examinarlotodo. Dicho AV ONLINE no limpia, solo testea, asi que lo

que pretendemos con ello es solo el informe, ya obraremos en

consecuencia, pidiendo muestras para analizar, si hace falta,

indicando la utilidad a probar para solucionarlo.



saludos



ms, 3-05-2008

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 07 May 2008, 21:07

Bueno lo conseguí pero....... he tenido que meterle otro disco duro con otro sistema operativo porque el que uso habitualmente me hacia que se metiera el ordenador en seguridad y tenia que apagar la fuente de alimentación para volver a reiniciar todo, ademas el disco duro externo esta continuamente como conectándose y desconectándose, por lo que supongo que no se habrá pasado el "buscavirus" no obstante hay va el informe extendido:

KASPERSKY ONLINE SCANNER INFORME

miércoles, 07 de mayo de 2008 20:54:07

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 7/05/2008

Registros en la base antivirus: 666247

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

E:\

F:\

G:\

Estadísticas

Número de objeros analizados 15336

Virus encontrados 3

Objetos infectados 15 / 0

Objetos sospechosos 0

Duración del análisis 00:35:57



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Sidebar\Settings.ini Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\EXTRAS\sub7legends.zip/SubSeven.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

C:\EXTRAS\sub7legends.zip/editserver.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

C:\EXTRAS\sub7legends.zip/server.exe Infectados: Backdoor.Win32.Jokerdoor saltado

C:\EXTRAS\sub7legends.zip/serversirium.exe Infectados: Backdoor.Win32.Jokerdoor saltado

C:\EXTRAS\sub7legends.zip ZIP: infectado - 4 saltado

C:\SIRDOWS\CSC\00000001 Object is locked saltado

C:\SIRDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\SIRDOWS\SchedLgU.Txt Object is locked saltado

C:\SIRDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\SIRDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\SIRDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\SIRDOWS\system32\config\default Object is locked saltado

C:\SIRDOWS\system32\config\default.LOG Object is locked saltado

C:\SIRDOWS\system32\config\SAM Object is locked saltado

C:\SIRDOWS\system32\config\SAM.LOG Object is locked saltado

C:\SIRDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\SIRDOWS\system32\config\SECURITY Object is locked saltado

C:\SIRDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\SIRDOWS\system32\config\software Object is locked saltado

C:\SIRDOWS\system32\config\software.LOG Object is locked saltado

C:\SIRDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\SIRDOWS\system32\config\system Object is locked saltado

C:\SIRDOWS\system32\config\system.LOG Object is locked saltado

C:\SIRDOWS\system32\config\systemprofile\Configuración local\Temp\Perflib_Perfdata_158.dat Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\SIRDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{15E59ACF-66F0-4669-AB9A-6750D914A79F}\RP5\change.log Object is locked saltado

F:\Dskrg2\advanced keylogger serial number.rar/Setup+Patch.exe Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger serial number.rar CAB: infectado - 1 saltado

F:\Dskrg2\advanced keylogger v1 4 serial number.rar/Setup+Patch.exe Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger v1 4 serial number.rar CAB: infectado - 1 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/SubSeven.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/editserver.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/server.exe Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/serversirium.exe Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso ISOimage: infectado - 5 saltado

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.



Espero que sirva para algo, ah tengo los discos duros extraibles y aunque tengo que apagar el PC no me cuesta mucho cambiarlos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 07 May 2008, 21:30

Pues ya se ve:



Virus encontrados 3

Objetos infectados 15 / 0



C:\EXTRAS\sub7legends.zip/SubSeven.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

C:\EXTRAS\sub7legends.zip/editserver.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

C:\EXTRAS\sub7legends.zip/server.exe Infectados: Backdoor.Win32.Jokerdoor saltado

C:\EXTRAS\sub7legends.zip/serversirium.exe Infectados: Backdoor.Win32.Jokerdoor saltado

C:\EXTRAS\sub7legends.zip ZIP: infectado - 4 saltado



F:\Dskrg2\advanced keylogger serial number.rar/Setup+Patch.exe Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger serial number.rar CAB: infectado - 1 saltado

F:\Dskrg2\advanced keylogger v1 4 serial number.rar/Setup+Patch.exe Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger v1 4 serial number.rar CAB: infectado - 1 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/SubSeven.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/editserver.exe Infectados: Backdoor.Win32.SubSeven.215 saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/server.exe Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip/serversirium.exe Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso/$OEM$/$1/EXTRAS/sub7legends.zip Infectados: Backdoor.Win32.Jokerdoor saltado

F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso ISOimage: infectado - 5 saltado





5 en disco C: y 10 en disco F:



pero en el C: parece que todos estan en un ZIP, asi que borra dicho ZIP : C:\EXTRAS\sub7legends.zip



y en F: tiene un fichero de una imagen ISO que tambien procede eliminar: F:\Dskrg2\SIRIUM.OMEGA.ULTIMATE.iso\SIRIUM.OMEGA.ULTIMATE.iso



y los que conviene ver son los de este presunto Keylogger serial, que debe ser el que le está incordiando:



F:\Dskrg2\advanced keylogger serial number.rar/Setup+Patch.exe Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger serial number.rar CAB: infectado - 1 saltado

c Infectados: P2P-Worm.Win32.Agent.bm saltado

F:\Dskrg2\advanced keylogger v1 4 serial number.rar





Envienos estos ficheros y los analizaremos:



F:\Dskrg2\advanced keylogger serial number.rar/Setup+Patch.exe



F:\Dskrg2\advanced keylogger serial number.rar/Setup+Patch.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y este .RAR que debe ser el que descargó de internet, ya lo puede eliminar:



F:\Dskrg2\advanced keylogger serial number.rar



y si quiere estos dos EXE, los puede renombrar a .VIR y tras reiniciar ya no le incordiaran, y las claves y otros restos, ya se eliminarán con la utilidad que hagamos al respecto, tras recibir las muestras, de lo cual informaremos



saludos

ms, 7-05-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 08 May 2008, 18:12

Confirmada recepcion de muestras, un analisis preliminar confirma que estan infectados.



Mañana, si Dios quiere, entrarán en monitorizacion e implementaremos su control y eliminacion en nuestras utiliaddes, de lo cual informaremos



saludos



ms, 8-5-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 09 May 2008, 13:48

Detectado worm P2P en las muestras enviadas, hemos implementado su control y eliminacion en el ELISTARA de hoy 16.25



Pruebelo y nos comenta el resultado, gracias



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 9-05-2008

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 10 May 2008, 14:20

Sat May 10 08:49:14 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

F:\DESKTOP.INI --> Eliminado (Fichero Complementario).

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Ahora me bajare los 3 parches y los pondré, muchas gracias por vuestra ayuda pero creo que ademas tengo algún problema de software por el tema de los puertos USB, mas adelante intentare mirar el disco externo con el pc portátil de momento no puedo pues también se rompió una piececita de los USB y el conector no entra físicamente, repito muchas gracias por vuestra ayuda

Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Re: Un virus me quiere formatear

Mensaje por Claudia34 » 10 May 2008, 15:28

Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp







Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Un virus me quiere formatear

Mensaje por lucl » 10 May 2008, 17:40

Hola juancar, nos has pegado tan solo el log de accion directa del elistara pero te falta el de exploracion. Cuando te sale la ventana grande que pone explorar le das ahi y tiene que analizarte el pc ademas de que no te ha eliminado el virus por el que enviaste el archivo y se te analizo, repite analisis porfavor, gracias

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 11 May 2008, 10:03

¿Es este?

Logfile of HijackThis v1.99.1

Scan saved at 10:01:12, on 11/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\SIRDOWS\System32\smss.exe

C:\SIRDOWS\system32\winlogon.exe

C:\SIRDOWS\system32\services.exe

C:\SIRDOWS\system32\lsass.exe

C:\SIRDOWS\system32\svchost.exe

C:\SIRDOWS\System32\svchost.exe

C:\SIRDOWS\system32\spoolsv.exe

C:\SIRDOWS\Explorer.EXE

C:\SIRDOWS\Glass2k.exe

C:\SIRDOWS\TaskSwitchXP.exe

C:\SIRDOWS\winroll.exe

C:\SIRDOWS\YzShadow.exe

C:\Archivos de programa\VisualTaskTips\svhost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\SIRDOWS\SOUNDMAN.EXE

C:\SIRDOWS\system32\ctfmon.exe

C:\archivos de programa\Windows Sidebar\sidebar.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\SIRDOWS\SiriClock\LClock.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\archivos de programa\Windows Sidebar\sidebar.exe

C:\SIRDOWS\System32\svchost.exe

C:\SIRDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\SIRDOWS\system32\wuauclt.exe

C:\SIRDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRar\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$DI00.657\HijackThis.exe

C:\SIRDOWS\SoftwareDistribution\Download\3f29a0bcd5e49dee556753f283f23ff7\update\update.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Glass2k] Glass2k.exe

O4 - HKLM\..\Run: [SiriumFolders] %WINDIR%\Documentos.exe

O4 - HKLM\..\Run: [FlipSirium] TaskSwitchXP.exe

O4 - HKLM\..\Run: [transparencia] winroll.exe

O4 - HKLM\..\Run: [YzShadow] YzShadow.exe

O4 - HKLM\..\Run: [Svhost] C:\Archivos de programa\VisualTaskTips\svhost.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\SIRDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Sidebar] c:\archivos de programa\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunOnce: [WindowBlinds] C:\Archivos de programa\Sirium Vision Pack\SiriBlinds\wbconfig.exe

O4 - Global Startup: SClock.lnk = C:\SIRDOWS\SiriClock\LClock.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210422217109

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WBSrv - C:\Archivos de programa\Sirium Vision Pack\SiriBlinds\wbsrv.dll

O20 - Winlogon Notify: WgaLogon - C:\SIRDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\SIRDOWS\system32\WPDShServiceObj.dll

O23 - Service: Imapi Helper - Alex Feinman - C:\Archivos de programa\Alex Feinman\ISO Recorder\ImapiHelper.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 11 May 2008, 10:15

¿o este?

Logfile of HijackThis v1.99.1

Scan saved at 10:15:22, on 11/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\SIRDOWS\System32\smss.exe

C:\SIRDOWS\system32\winlogon.exe

C:\SIRDOWS\system32\services.exe

C:\SIRDOWS\system32\lsass.exe

C:\SIRDOWS\system32\svchost.exe

C:\SIRDOWS\System32\svchost.exe

C:\SIRDOWS\system32\spoolsv.exe

C:\SIRDOWS\Explorer.EXE

C:\SIRDOWS\Glass2k.exe

C:\SIRDOWS\TaskSwitchXP.exe

C:\SIRDOWS\winroll.exe

C:\SIRDOWS\YzShadow.exe

C:\Archivos de programa\VisualTaskTips\svhost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\SIRDOWS\SOUNDMAN.EXE

C:\SIRDOWS\system32\ctfmon.exe

C:\archivos de programa\Windows Sidebar\sidebar.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\SIRDOWS\SiriClock\LClock.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\archivos de programa\Windows Sidebar\sidebar.exe

C:\SIRDOWS\System32\svchost.exe

C:\SIRDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$DI00.657\HijackThis.exe

C:\SIRDOWS\system32\Notepad.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Glass2k] Glass2k.exe

O4 - HKLM\..\Run: [SiriumFolders] %WINDIR%\Documentos.exe

O4 - HKLM\..\Run: [FlipSirium] TaskSwitchXP.exe

O4 - HKLM\..\Run: [transparencia] winroll.exe

O4 - HKLM\..\Run: [YzShadow] YzShadow.exe

O4 - HKLM\..\Run: [Svhost] C:\Archivos de programa\VisualTaskTips\svhost.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\SIRDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Sidebar] c:\archivos de programa\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunOnce: [WindowBlinds] C:\Archivos de programa\Sirium Vision Pack\SiriBlinds\wbconfig.exe

O4 - Global Startup: SClock.lnk = C:\SIRDOWS\SiriClock\LClock.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210422217109

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WBSrv - C:\Archivos de programa\Sirium Vision Pack\SiriBlinds\wbsrv.dll

O20 - Winlogon Notify: WgaLogon - C:\SIRDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\SIRDOWS\system32\WPDShServiceObj.dll

O23 - Service: Imapi Helper - Alex Feinman - C:\Archivos de programa\Alex Feinman\ISO Recorder\ImapiHelper.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Un virus me quiere formatear

Mensaje por lucl » 11 May 2008, 10:44

No, veras me referia al log del elistara, descargatelo de nuevo y vuelve a pasarlo, di a todo que si, y cuando se abra el cuadro grande que pone explorar o salir dale a explorar, luego te dejara un log en C que se llama infosat.txt y nos lo pegas, es que anteriormente dejaste el analisis a medias, saludos



http://www.zonavirus.com/descargas/elistara.asp

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 11 May 2008, 18:46

[b][i]A ver[/i][/b] si ahora lo hago bien, son cosas de la edad lo siento perdonarme je je je







Sat May 10 08:49:14 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

F:\DESKTOP.INI --> Eliminado (Fichero Complementario).

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat May 10 21:04:50 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat May 10 21:32:02 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2083

Nº Total de Ficheros: 15744

Nº de Ficheros Analizados: 5736

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat May 10 21:36:52 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat May 10 21:37:00 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 07:15:50 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun May 11 07:16:38 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2085

Nº Total de Ficheros: 16140

Nº de Ficheros Analizados: 6097

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 07:51:35 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun May 11 18:24:01 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun May 11 18:31:26 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2403

Nº Total de Ficheros: 19502

Nº de Ficheros Analizados: 7592

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:43:36 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:43:38 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:43:43 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:43:47 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:43:52 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 136

Nº Total de Ficheros: 1948

Nº de Ficheros Analizados: 33

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 11 18:44:00 2008

EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 136

Nº Total de Ficheros: 1948

Nº de Ficheros Analizados: 33

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Haaaaa ahora veo que aqui salen todas las veces que lo he pasado je je je que torpe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 11 May 2008, 18:54

Pues aunque no los detecten ni el NOD32 ni el ELISTARA, vemos estos sospechosos que conviene n os envies para analizar:





C:\Archivos de programa\VisualTaskTips\svhost.exe



C:\windows\Documentos.exe



c:\windows\system32\TaskSwitchXP.exe



c:\windows\system32\winroll.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras analizarlos, informaremos



saludos



ms, 11-05.2008

juancar5
Mensajes: 7
Registrado: 03 May 2008, 21:12

Re: Un virus me quiere formatear

Mensaje por juancar5 » 11 May 2008, 20:33

estos no los encuentro yo no tengo la carpeta windows

C:\windows\Documentos.exe



c:\windows\system32\TaskSwitchXP.exe



c:\windows\system32\winroll.exe



El otro lo mando ahora mismo

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Un virus me quiere formatear

Mensaje por lucl » 11 May 2008, 20:39

Perdona pero tienes que tener la carpeta windows, en C , y porque dices que tu no la tienes? Ve a Inicio----C----Windows y buscalos, saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 12 May 2008, 09:39

Y en cualquier caso, busca estos ficheros con un Inicio -> Buscar -> Todos los ficheros y carpetas , a ver donde los encuentras ???



Porque la clave indica %windir% que normalmente en XP es C:\windows, que entiendo es lo que tienes, pero claro puede que no lo tengas standar ???



Con lo indicado espero que los encuentres.



saludos



ms, 12-05-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Un virus me quiere formatear

Mensaje por msc hotline sat » 16 May 2008, 12:59

Pues hemos recibido un fichero MYDOCS a cero bytes, que no sirve y el SVHOST de la carpeta C:\Archivos de programa\VisualTaskTips\svhost.exe , el cual realmente indica ser de VisualTaskTips, sin que haya nada virico en su interior, aunque por el nombre y ubicacion cabiera suponerlo



Asi que si no tine nada mas, lo recibido no es vírico.



Y [b][i]AVISAMOS QUE DEBE INDICARSE EL NIK DEL FORO EN EL ASUNTO DEL MAIL QUE SE ADJUNTEN MUESTRAS[/i][/b], cosa que no has hecho y que ya se enviaba a la papelera cuando se ha visto que coincidia tu direccion de mail con el de este nik...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 16-05-2008

Responder

Volver a “Foro Virus - Cuentanos tu problema”