Como eliminar el virus troyano Sp.exe

Estado
Cerrado para nuevas respuestas

A_leks

Nuevo Miembro
Miembro
#1
hola, a mi también se me entro este virus sp.exe, lo elimine de c pero antes de terminar el proceso, en el registro lo limpioen modo seguro pero vuelve a aparecerse, aquí les pongo el log del hijackthis

Logfile of HijackThis v1.97.7

Scan saved at 06:03:37 p.m., on 27/09/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGSERV9.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\WINANMPX.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGCC32.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\OSSPROXY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\CARPSERV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\MIS DOCUMENTOS\INSTALADORES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Archivos de programa\Copernic Agent\Web\SearchBar.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.desktopgirls.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\2.BIN\MYBAR.DLL

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\2.BIN\MYBAR.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [Windows Config] WINANMPX.EXE

O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\GRISOFT\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [OSS] C:\WINDOWS\SYSTEM\OSSPROXY.EXE -boot

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\ARCHIV~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKCU\..\RunOnce: [Windows Config] WINANMPX.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Search Using Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: Download using FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm

O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)

O9 - Extra button: Copernic Agent (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {F5C90925-ABBF-4475-88F5-8622B452BA9E} (Compaq System Data Class) - http://www29.compaq.com/falco/SysQuery.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8165.9063425926

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

espero aue alguien me ayude pronto , chau
 

alnitak

Ex-Admin
Miembro
#2
Por favor, desde la zona de descargas bájate la última versión del HijackThis y sobrescribe tu versión.

Por favor, asegúrate que el HijackThis esté en su propia carpeta, lo típico es c:\Hijackthis\ pero da igual el nombre y ubicación mientras sea una carpeta solo par el.

Desde el Panel Control desinstala el mywar o mybar o como diablo se llame en esta versión

Reinicia en modo seguro, entra al administrador de tareas y si existe termina este proceso:

C:\WINDOWS\SYSTEM\WINANMPX.EXE

Después corre el HijackThis y limpia estas 2 entradas:

O4 - HKLM\..\Run: [Windows Config] WINANMPX.EXE

O4 - HKCU\..\RunOnce: [Windows Config] WINANMPX.EXE

Elimina el archivo C:\WINDOWS\SYSTEM\WINANMPX.EXE que no se que será (aunque pinta mucho a troyano) pero seguro nada que quieras tener en tu sistema y no tiene nada a que ver con el Winamp por si lo tienes instalado y te entra la duda..

El sp.exe no lo veo por ningún lado, con el mismo hijackThis versión 1.98.2 dale al botón config>misc tools>marca la casilla <list empty sections(complete)> y dale al botón generate startuplist, después postea aquí ese log.
 

A_leks

Nuevo Miembro
Miembro
#3
Hola, hice todo lo que me dijiste, aunque no entendí bien eso de entrar al administrador de tareas, talvez podrías explicar paso por paso como hacer eso, lo que hice fue ejecutar msconfig y eliminar en el inicio winanmpx.exe, bueno aquí esta el log que me genero el hijackthis

StartupList report, 28/09/04, 05:08:19 p.m.

StartupList version: 1.52.2

Started from : C:\HIJACKTHIS\HIJACKTHIS.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\WINDOWS\All users\Menú Inicio\Programas\Inicio]

*No files*

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AVG_CC = C:\ARCHIV~1\GRISOFT\AVG6\avgcc32.exe /STARTUP

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.Exe

OSS = C:\WINDOWS\SYSTEM\OSSPROXY.EXE -boot

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Avgserv9.exe = C:\ARCHIV~1\GRISOFT\AVG6\Avgserv9.exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = C:\WINDOWS\SYSTEM\mstask.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=

run=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\STRIPS~1.SCR

drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.INI listing:

*File not found*

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 28/9/2004, 17:0:8)

[rename]

NUL=C:\ARCHIV~1\MYWAY\MYBAR\2.BIN\MYBAR.DLL

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

C:\ARCHIV~1\GRISOFT\AVG6\bootup.exe

SET PATH=%PATH%;C:\ARCHIV~1\ARCHIV~1\AUTODE~1;C:\ARCHIV~1\GRISOFT\AVG6

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

--------------------------------------------------

C:\WINDOWS\WINSTART.BAT listing:

*File not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL - {A5366673-E8CA-11D3-9CD9-0090271D075B}

(no name) - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Optimización del inicio de aplicaciones.job

Mantenimiento-Desfragmentador de aplicacione.job

Mantenimiento-Scandisk.job

Mantenimiento-Liberador de disco.job

--------------------------------------------------

Enumerating Download Program Files:

[Microsoft XML Parser for Java]

CODEBASE = file://C:\WINDOWS\Java\classes\xmldso4.cab

OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[DirectAnimation Java Classes]

CODEBASE = file://C:\WINDOWS\SYSTEM\dajava.cab

OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

[Internet Explorer Classes for Java]

CODEBASE = file://C:\WINDOWS\SYSTEM\iejava.cab

OSD = C:\WINDOWS\Downloaded Program Files\Internet Explorer Classes for Java.osd

[Compaq System Data Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SYSQUERY.DLL

CODEBASE = http://www29.compaq.com/falco/SysQuery.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\SWFLASH.OCX

CODEBASE = https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[QuickTime Object]

InProcServer32 = C:\WINDOWS\SYSTEM\QTPLUGIN.OCX

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8165.9063425926

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ASINST.DLL

CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\DIRECTOR\SWDIR.DLL

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\SYSTEM\rnr20.dll

Protocol #1: C:\WINDOWS\SYSTEM\mswsosp.dll

Protocol #2: C:\WINDOWS\SYSTEM\msafd.dll

Protocol #3: C:\WINDOWS\SYSTEM\msafd.dll

Protocol #4: C:\WINDOWS\SYSTEM\msafd.dll

Protocol #5: C:\WINDOWS\SYSTEM\rsvpsp.dll

Protocol #6: C:\WINDOWS\SYSTEM\rsvpsp.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 11,989 bytes

Report generated in 0.090 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only

PD. La cosa mejoro bastante con las instrucciones que me diste gracias, por si aca una chequeada a este log
 

alnitak

Ex-Admin
Miembro
#4
Hola, hice todo lo que me dijiste, aunque no entendí bien eso de entrar al administrador de tareas, talvez podrías explicar paso por paso como hacer eso, lo que hice fue ejecutar msconfig y eliminar en el inicio winanmpx.exe
Para entrar al administrador de tareas de Windows ==>> <Crtl>+<Alt>+<Supr>

Por favor, no oculten las entradas ilegales desde el msconfig, eso no es lo que te dije, mas bien es todo lo contrario, de todo modo si has limpiado las entradas desde el HijackThis y eliminado el archivo ese ya no debería darte problemas.

El sp.exe no lo veo por ningún lado y tu log parece estar limpio, estas seguro que ese archivo sigue en tu sistema ?
 

A_leks

Nuevo Miembro
Miembro
#5
La ultima vez que busque en el registro seguia, ahora lo elimine y ya no lo encuentro, pero no me cargan algúnas paginas como yahoo, google, starmedia, principalmente los buscadores y algúnas mas, a que puede deberse esto?
 

alnitak

Ex-Admin
Miembro
#6
No recuerdo ahora si Windows 98 utiliza archivo HOSTS pero presumo que si, por vafor busca este archivo en tu sistema (deberia ser un archivo oculto) y si existe abrelo con el bloc de notas y posteame aquí el contenido.
 

A_leks

Nuevo Miembro
Miembro
#7
Aqui esta lo que me salio:

# Copyright © 1998 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

PD. : Reaparando la instalación del Internet Explorer 6 ya se supero el problema
 
Estado
Cerrado para nuevas respuestas
Arriba Pie