VIRUSSSS AYUDA* (CERRADO)

[sackettxxx]

Hola necesito ayuda ayer se metio un virus a mi pc restaure el sistema y esta igual, me elimino carpetas con archivos importantes que puedo hacer despues de sacar el virus el easy recovery me podra ayudar a recuperar el archivo eliminado? mi disco duro es nuevo no tiene ninguna formateada... ayuda ayuda ay mi log y unas fotos. GRACIAS!







Logfile of HijackThis v1.99.1

Scan saved at 23:40:10, on 18/08/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\bin32\nSvcAppFlt.exe

C:\Archivos de programa\bin32\nSvcIp.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\YahooMessenger.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Adobe\Adobe Photoshop CS4\Photoshop.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Archivos de programa\Ahead\nero\nero startsmart\nerostartsmart.exe

C:\Archivos de programa\Ahead\nero\nero\nero.exe

C:\WINDOWS\system32\imapi.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\EDU MASTER\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com

O1 - Hosts: 189.201.72.153 https://www.bancomer.com

O1 - Hosts: 189.201.72.153 http://bancomer.com

O1 - Hosts: 189.201.72.153 https://bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx/

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx/

O1 - Hosts: 189.201.72.153 https://bancomer.com.mx

O1 - Hosts: 189.201.72.153 https://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com

O1 - Hosts: 189.201.72.153 bancomer.com

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com.mx

O1 - Hosts: 189.201.72.153 bbva.com

O1 - Hosts: 189.201.72.153 https://www.bbva.com

O1 - Hosts: 189.201.72.153 http://bbva.com

O1 - Hosts: 189.201.72.153 https://bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx/

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 bbva.com.mx

O1 - Hosts: 189.201.72.153 bbva

O1 - Hosts: 189.201.72.153 bancomer

O1 - Hosts: 189.201.72.153 bbva.com

O1 - Hosts: 189.201.72.153 http://www.bbva.com

O1 - Hosts: 189.201.72.153 http://bbva.com

O1 - Hosts: 189.201.72.153 https://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx/

O1 - Hosts: 189.201.72.153 https://bbva.com.mx

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Archivos de programa\Adobe\/Adobe Contribute CS4/contributeieplugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Archivos de programa\Adobe\/Adobe Contribute CS4/contributeieplugin.dll

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SearchSettings] C:\Archivos de programa\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [PowerBar] "C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\EDUMAS~1\CONFIG~1\Temp\herss.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS4 - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Archivos de programa\bin32\nSvcAppFlt.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Archivos de programa\bin32\nSvcIp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

[julibaga]

Desinstala el Ares.

Elimina estas claves:
[quote="sackettxxx"]O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com

O1 - Hosts: 189.201.72.153 https://www.bancomer.com

O1 - Hosts: 189.201.72.153 http://bancomer.com

O1 - Hosts: 189.201.72.153 https://bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx/

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx/

O1 - Hosts: 189.201.72.153 https://bancomer.com.mx

O1 - Hosts: 189.201.72.153 https://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 http://www.bancomer.com

O1 - Hosts: 189.201.72.153 bancomer.com

O1 - Hosts: 189.201.72.153 http://www.bancomer.com.mx

O1 - Hosts: 189.201.72.153 bancomer.com.mx

O1 - Hosts: 189.201.72.153 bbva.com

O1 - Hosts: 189.201.72.153 https://www.bbva.com

O1 - Hosts: 189.201.72.153 http://bbva.com

O1 - Hosts: 189.201.72.153 https://bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx/

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 bbva.com.mx

O1 - Hosts: 189.201.72.153 bbva

O1 - Hosts: 189.201.72.153 bancomer

O1 - Hosts: 189.201.72.153 bbva.com

O1 - Hosts: 189.201.72.153 http://www.bbva.com

O1 - Hosts: 189.201.72.153 http://bbva.com

O1 - Hosts: 189.201.72.153 https://www.bbva.com.mx

O1 - Hosts: 189.201.72.153 http://www.bbva.com.mx/

O1 - Hosts: 189.201.72.153 https://bbva.com.mx[/quote]
Bájate las siguientes utilidades:

[b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b]

[b][url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url][/b]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.



Además, actualizar el windows con el SP3 y parches posteriores, sobre todo los parches [b]MS08-067[/b] y [b]MS08-078[/b]

[lucl]

Ademas busca esto y añadele extension .vir despues del .exe para que no incordie y envianoslo para analizar



C:\Archivos de programa\Search Settings[b]\SearchSettings.exe[/b]



Debes empaquetarlo con winrar o winzip y ponerle de contraseña la palabra virus . Arriba a la derecha tienes el boton de envio muestras. Saludos.

[sackettxxx]

mis resultados del EliStart y EliTriIP







(19-8-2009 23:24:49 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\_ID.DAT --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(19-8-2009 23:27:25) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

[lucl]

Vuelve a ejecutar las dos herramientas y cuando te sale el cuadro grande que dice explorar o salir dale a explorar. Y nos pegas otra vez el log entero saludos.

[msc hotline sat]

Y actualiza los parches, que te faltan muchos y eso es estar en peligro:


[quote="infosat"]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]

saludos



ms, 20-8-2009

[msc hotline sat]

Recibida muestra del SearchSettings.exe no se detectan en dicho fichero rutinas sospechosas.



Tras instalar los parches que faltan, reinicia y dinos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias.



saludos



ms, 25-8-2009





NOTA: Si persisten anomalias, envianos este otro sospechoso:



C:\DOCUME~1\EDUMAS~1\CONFIG~1\Temp\herss.exe



ms.

[sackettxxx]

si, Gracias por la ayuda pues me desespere y termine formateando mi unidad C y el se soluciono el problema... Gracias.

[msc hotline sat]

Lástima que no enviaras antes el fichero que te pedíamos, para poder controlar el malware en el futuro...



Pero dado que no ha hecho caso, damos por terminado el Tema y procedemos a cerrarlo



saludos          [img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]



ms, 12-9-2009