Virus raro y chino

Hola, un dia meti mi usb con archivos cargados de la facultad y mi ordenador se volvio loco, el trend micro pc cillin empezo a detectar virus como oso.exe, severe.exe, conime.exe, tfidma.exe etc...Al poner esos nombres en el google me salen todas las paginas en chino, no sale el regedit ni msconfig, no deja instalar ni desinstalar el antivirus. Hay dos archivos muy raros en mi usb: ÖØÒª×ÊÁÏ.exe y ÃÀÅ®ÓÎÏ· , no se pueden eliminar, al ejecutarlos no sale nada y el usb no se puede formatear:AYUDA POR FAVORRR!!!!!!!!!



Logfile of HijackThis v1.99.1

Scan saved at 19:55:45, on 05/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Microsoft Firewall Client 2004\FwcAgent.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\drivers\conime.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\ARCHIV~1\CA\ETRUST~1\realmon.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\tfidma.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Firewall Client 2004\FwcMgmt.exe

c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\agent.exe

C:\WINDOWS\system32\severe.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Administrador\Escritorio\hijackthis\Hijac kThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://DUERO.alumnos.local:8080/arra...Routing.Script

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = DUERO.alumnos.local:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\conime.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [adamrf] C:\WINDOWS\system32\tfidma.exe

O4 - HKLM\..\Run: [tfidma] C:\WINDOWS\system32\severe.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

O4 - Global Startup: Administración de Cliente Firewall de Microsoft.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.uemc.edu

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alumnos.local

O17 - HKLM\Software\..\Telephony: DomainName = alumnos.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alumnos.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alumnos.local

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Archivos de programa\CVSNT\cvslock.exe

O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Archivos de programa\CVSNT\cvsservice.exe

O23 - Service: DF5Serv - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

no se leer los logs pero.... ya le diste un analisis con el avg antispyware? o con algun otro?

Iniciado por zimrules' date='Feb 5 2007, 08:54 PM

no se leer los logs pero.... ya le diste un analisis con el avg antispyware? o con algun otro?

[snapback]318345[/snapback]

Hola, ya probé con varios antispyware entre ellos el avg, el panda... etc. No consigo resultados ya que no me deja ejecutar los .exe. :unsure:

Bonita infeccion, haz esto de momento:



En Este Orden:



Actualiza tu sistema, Aqui (Si no puedes Omite este paso)



Borra todas las cookies y el registro con CCleaner:



Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)



Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opcion eliminar, despues guarda el report y lo pegas)



Y esta aplicacion tambien (No necesita instalacion, dale si a todo, el report estara en C:Infosat) Cuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa, No te saltes este paso ElistarA



<div class='bbimg'></div>



Que no elimine nada



Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.



Un Saludo



PD: Esto lo has puesto tu VERDAD?



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = DUERO.alumnos.local:8080



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://DUERO.alumnos.local:8080/arra...Routing.Script