Virus raro y chino

Tema en 'Logs HijackThis' comenzado por royli, 5/2/07.

Estado del tema:
No está abierto para más respuestas.
  1. royli

    royli Nuevo Miembro Miembro

    Hola, un dia meti mi usb con archivos cargados de la facultad y mi ordenador se volvio loco, el trend micro pc cillin empezo a detectar virus como oso.exe, severe.exe, conime.exe, tfidma.exe etc...Al poner esos nombres en el google me salen todas las paginas en chino, no sale el regedit ni msconfig, no deja instalar ni desinstalar el antivirus. Hay dos archivos muy raros en mi usb: ÖØÒª×ÊÁÏ.exe y ÃÀÅ®ÓÎÏ· , no se pueden eliminar, al ejecutarlos no sale nada y el usb no se puede formatear:AYUDA POR FAVORRR!!!!!!!!!



    Logfile of HijackThis v1.99.1

    Scan saved at 19:55:45, on 05/02/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.5730.0011)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Microsoft Firewall Client 2004\FwcAgent.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

    C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

    C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

    C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

    C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

    C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

    C:\WINDOWS\system32\vmnat.exe

    C:\WINDOWS\system32\vmnetdhcp.exe

    C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\drivers\conime.exe

    C:\WINDOWS\system32\hkcmd.exe

    C:\WINDOWS\system32\igfxpers.exe

    C:\ARCHIV~1\CA\ETRUST~1\realmon.exe

    C:\WINDOWS\System32\DLA\DLACTRLW.EXE

    C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

    C:\WINDOWS\system32\tfidma.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Archivos de programa\Microsoft Firewall Client 2004\FwcMgmt.exe

    c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe

    C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\agent.exe

    C:\WINDOWS\system32\severe.exe

    C:\WINDOWS\system32\cmd.exe

    C:\WINDOWS\system32\cmd.exe

    C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\WINDOWS\system32\cmd.exe

    C:\Documents and Settings\Administrador\Escritorio\hijackthis\HijackThis.exe



    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://DUERO.alumnos.local:8080/array.dll?Get.Routing.Script

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = DUERO.alumnos.local:8080

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\conime.exe

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

    O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s

    O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

    O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [adamrf] C:\WINDOWS\system32\tfidma.exe

    O4 - HKLM\..\Run: [tfidma] C:\WINDOWS\system32\severe.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

    O4 - Global Startup: Administración de Cliente Firewall de Microsoft.lnk = ?

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

    O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

    O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

    O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

    O10 - Unknown file in Winsock LSP: c:\archivos de programa\microsoft firewall client 2004\fwcwsp.dll

    O11 - Options group: [INTERNATIONAL] International*

    O14 - IERESET.INF: START_PAGE_URL=http://www.uemc.edu

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alumnos.local

    O17 - HKLM\Software\..\Telephony: DomainName = alumnos.local

    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alumnos.local

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alumnos.local

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Archivos de programa\CVSNT\cvslock.exe

    O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Archivos de programa\CVSNT\cvsservice.exe

    O23 - Service: DF5Serv - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

    O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

    O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

    O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

    O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

    O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
     
  2. zimrules

    zimrules Nuevo Miembro Miembro

    no se leer los logs pero.... ya le diste un analisis con el avg antispyware? o con algun otro?
     
  3. royli

    royli Nuevo Miembro Miembro







    Hola, ya probé con varios antispyware entre ellos el avg, el panda... etc. No consigo resultados ya que no me deja ejecutar los .exe. :unsure:
     
  4. Lestat

    Lestat Miembro Activo Miembro

    Bonita infeccion, haz esto de momento:



    En Este Orden:



    Actualiza tu sistema, Aqui (Si no puedes Omite este paso)



    Borra todas las cookies y el registro con CCleaner:



    Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)



    Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opcion eliminar, despues guarda el report y lo pegas)



    Y esta aplicacion tambien (No necesita instalacion, dale si a todo, el report estara en C:Infosat) Cuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa, No te saltes este paso ElistarA



    <div class='bbimg'>[​IMG]</div>



    Que no elimine nada



    Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.



    Un Saludo



    PD: Esto lo has puesto tu VERDAD?



    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = DUERO.alumnos.local:8080



    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://DUERO.alumnos.local:8080/array.dll?Get.Routing.Script
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página