Hardware y software

Problema (virus)

Original
Original #1 Ene '08 ¡Vamos Rafa!

Hola a todos

El otro dia me descargue via emule un archivo el cual venia con un supuesto crack y como ya os imaginareis... NO ERA EL CRACK ¬¬'

Ahora el maldito virus no me deja abrir ningun antivirus, me sale este pantallazo :

Alguna solucion para poder volver a activar mi antivirus???

gracias

angelorz
angelorz #2 Ene '08 Cofrade

Format:C

Original
Original #3 Ene '08 ¡Vamos Rafa!

alguna otra solución aparte de la de #2 ?

E
Eliote #4 Ene '08

Si tienes dos discos duros, pasa todo lo valioso a uno de ellos y formatea en el que tienes el windows instalado y reinstálalo denuevo.

Nosé ninguna más, pero vamos a ver si alguien que sepa te responde.

Suerte

S1uL
S1uL #5 Ene '08

Ctrl+alt+supr busca algún proceso q parezca sospechoso, buscalo por google para ver si es un virus y mira la forma de eliminarlo.

#4 No hace falta tener 2 discos duros, con otra partición es suficiente.. la forma mas intuitiva de crear particiones desde windows es el partition magic.

Original
Original #6 Ene '08 ¡Vamos Rafa!

#5

No veo nada raro :/

M
McWit0 #7 Ene '08

Formateando lo solucionas, en caso que no quieras formatear, haz esto:

1º Analiza tu PC con Kaspersky Online
2º Sino da resultado, baja el HiJackThis y nos pegas aqui el log.

#6 Si el virus en cuestión va incorporado con un rootkit olvidate, no lo vas a ver por ningún lado, también puede que se inyecte en algún proceso.

#5 te digo lo mismo que a #6 además si matas el proceso desde la lista tampoco valdría porque seguramente se inicia con windows y tendrías que buscar la clave. #6 hazme caso y sigue mis pasos.

Original
Original #8 Ene '08 ¡Vamos Rafa!

#7

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:04, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinAgenda\WinAgenda.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\ARCHIV1\Mozilla Firefox\firefox.exe
C:\GrupoSP\SPPanel\SPPG.EXE
C:\GRUPOSP\FAE04R02\EXE\GESTIONW.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Lphant\eLePhantClient.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM..\Run: [VTTimer] VTTimer.exe
O4 - HKLM..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM..\Run: [ISUSPM Startup] C:\ARCHIV1\ARCHIV1\INSTAL1\UPDATE1\ISUSPM.exe -startup
O4 - HKLM..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKLM..\Run: [avast!] C:\ARCHIV1\ALWILS1\Avast4\ashDisp.exe
O4 - HKLM..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU..\Run: [Win-Agenda] C:\Archivos de programa\WinAgenda\WinAgenda.exe
O4 - HKCU..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe"
O4 - HKCU..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent
O4 - HKCU..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV1\MICROS2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - https://empresas.gruposantander.es/bsch/gestion/iftwclix.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCBF3856-68F9-4FEE-ADA0-9D8D255B9F24} - https://empresas.gruposantander.es/bsch/gestion/suite/descarga/paquetes/software/checkSoftPC.cab
O17 - HKLM\System\CCS\Services\Tcpip..{5046FA5B-F63C-4CC5-B12A-11E4B44F2F2D}: NameServer = 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: iologmsg32 - C:\WINDOWS\SYSTEM32\iologmsg32.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8795 bytes

Original
Original #9 Ene '08 ¡Vamos Rafa!

Tambien hice un scanner con el kapersky online en la carpeta C://WINDOWS

Objetivo a analizar Carpetas
C:\WINDOWS\
Estadísticas
Número de objeros analizados 17501
Virus encontrados 3
Objetos infectados 20 / 0
Objetos sospechosos 0
Duración del análisis 03:36:09

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\Antiviru.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\dllcache\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\down\118515.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14633296.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14681609.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\283515.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\330671.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\4068187.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\4100484.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\4109484.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\42078.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\44140.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\45968.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\47578.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\56046.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\61281.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\73375.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\80218.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\95890.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\iologmsg32.dll Infectados: Trojan.Win32.Agent.dwg saltado
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado
C:\WINDOWS\system32\mdelk.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\ntoskrnl.exe Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\ASHeuristic\b64_3[1]_jpg.vir Infectados: Email-Worm.Win32.Bagle.of saltado

M
McWit0 #10 Ene '08

Pero todos esos archivos que te detectó el Kaspersky te los pudo borrar??

Aparte de eso dale Fix a las siguientes entradas:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: iologmsg32 - C:\WINDOWS\SYSTEM32\iologmsg32.dll

Si la cosa persiste reinicia en Modo a prueba de fallos y Fixea esas entradas, si el kaspersky no te pudo borrar esos archivos prueba a borrarlos tu mismo, conociendo ya sus directorios no creo que haya problema, en caso que no te deje borrarlos, baja el File Assasin e indicale donde se encuentran los archivos.

Original
Original #11 Ene '08 ¡Vamos Rafa!

#10 Intento borrar los archivos manualmente pero no me deja :S LOL

M
McWit0 #12 Ene '08

Baja el File Assasin que es para borrar archivos que se ponen tontos xD

Qué te dice que el archivo no se puede borrar porque esta en uso o algo así? con ese programa puedes, no obstante ara busco otro programa similar por si ese no te funciona.

Original
Original #13 Ene '08 ¡Vamos Rafa!

#12 tengo k ir borrando todos los archivos infectados? lul

M
McWit0 #14 Ene '08

Si, aunque ya te digo, si puedes, mejor formatea y te olvidas de todo xD

Original
Original #15 Ene '08 ¡Vamos Rafa!

#14 es lo que aría pero no tengo los drivers de nada y me da cosa k al formatear pierda todo XD

M
McWit0 #16 Ene '08

Solo necesitas los drivers de la placa y de la grafica xD por lo menos esos son los únicos que instalo yo al formatear, y sin problemas ;D dime que placa tienes si quieres y te busco los drivers, tengo agilidad con el google.

S1uL
S1uL #17 Ene '08

#7 No me refería a matar el proceso, porque no suele servir de nada ya que se suelen reabrir hasta con otro nombre, mucha mierda es fácil de eliminar por ejemplo un virus se mete como iexplorer.exe (no internet explorer) y va ocupando casi toda la memoria y de estos así centenares... hace poco yo tampoco podía abrir el antivirus y la soluciones pueden ser asta que esté parado desde servicios (en el panel de control) hasta que el mismo virus te paralice una listilla de ejecutables fina.

Eso sí, si quieres limpiar bien bien pues formatea...

elfito
elfito #18 Ene '08

hazte con los drivers de internet + antivirus, guarda todo lo ke tengas, y formatea

aveces es la mejor solucion xDDD

Original
Original #19 Ene '08 ¡Vamos Rafa!

#16 como se llamaba el programa ese para mirar que placa, tarjeta grafica o temperatura tengo en el pc?? esk se ma olvidao el nombre xd

M
McWit0 #20 Ene '08

Everest, aunque también hay otro más, pero con ese vas sobrao xD

Original
Original #21 Ene '08 ¡Vamos Rafa!

#20

La placa es : Asus P5VDC-MX

La grafica es : VIA/S3G Unichrome Pro Integrated

es el pc de la empresa XD

Original
Original #22 Ene '08 ¡Vamos Rafa!

Estoi ahora con el bitdefender online que parece que esta encontrando bastante mierda XD

el archivo que pone Delete failed ya lo borre con el programa que me dijiste el FILEASSASIN , el cual es una maravilla XD

Usuarios habituales