El Virus de Osama

Estado
Cerrado para nuevas respuestas

da_vide

Nuevo Miembro
Miembro
#1
Hola amigos de TrucosWindows :

Hace ya Varios Dias Tengo un virus, Que lo obtuve por el MSN y desinstalo o lo dejo fuera de servicio al antivirus, que es el ANTI-VIR, la presentacion del virus en los días siguientes fue de una ventana que tenia el titulo de C:/(el opuesto a esta linea /) Badiel .hta el texto al interior de la vetana era : Muerte a los Estados Unidos a sus aliados Israelitas y que viva Afganistan e Iraq, claro palabras mas, palabras menos esa es la idea central del texto.

cada Vez que presiono ( control - alt - supr ) veo que siempre esta explorer hasta en 4 oportunidades, pero lo raro esta cuando no tengo abierta ninguna ventana del explorador de internet activa, así que presumo que es el virus, ademas trato de cerrar esos exploradores que segun la pc estoy haciendo uso y se reabren de nuevo.

cuando descargo el anti-vir de nuevo y scaneo mi pc me sale un mensaje sobre unos archivos que tienen errores, creo , la ruta es D:/windows/system/servplayern.pif este mensaje sale hasta en 4 oportunidades seguidas luego corre el antivirus pero el virus inmediatamente cierra el antivirus y ademas lo elimina de la pc, esto mismo hace el virus con todas esas ventanas en las que trato de buscar algún antivirus u otro programa que me ayude a eliminarlo

bueno en conclusion tengo un virus , necesito eliminarlo de mi pc.

ya use el HijackThis y también el virus lo elimina :( :( :(

ayudaaaaaaaaaa por favooooorrrrrr¡¡¡¡ GRacias ¡¡¡¡¡
 

alnitak

Ex-Admin
Miembro
#2
Intenta iniciar el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el administrador de tareas y termina cualquier proceso con nombre extraño, después intenta correr el HijackThis a ver si ahora te deja tomar el log y copialo aquí.

Intenta también escanearte con un antivirus on-line
 

da_vide

Nuevo Miembro
Miembro
#3
:confused: Segui tu consejo alnitak y aquí esta el log espero que me sigas ayudando , GRacias da_vide :D

Logfile of HijackThis v1.98.2

Scan saved at 11:39:40, on 17/10/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\SYSTEM\KERNEL32.DLL

D:\WINDOWS\SYSTEM\MSGSRV32.EXE

D:\WINDOWS\SYSTEM\MPREXE.EXE

D:\WINDOWS\EXPLORER.EXE

D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF

D:\TRUCOSWIN\HIJACKTHIS.EXE

D:\WINDOWS\SYSTEM\CTVGROUPSREP.EXE

D:\WINDOWS\SYSTEM\CHARCALCLIB.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

F1 - win.ini: run=D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF

O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - D:\ARCHIV~1\ARCHIV~1\REAL\TOOLBAR\REALBAR.DLL

O2 - BHO: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - D:\ARCHIV~1\ARCHIV~1\REAL\TOOLBAR\REALBAR.DLL

O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] D:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] D:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVGCtrl] "D:\ARCHIV~1\AVPERS~1\AVGCTRL.EXE" /min

O4 - HKLM\..\Run: [StillImageMonitor] D:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [QuickTime Task] "D:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SERVPLAYERNL] D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF

O4 - HKLM\..\Run: [svshots] D:\WINDOWS\svshots.exe

O4 - HKLM\..\Run: [AVSCHED32] D:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVSCHED32.EXE /min

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [MessengerPlus3] "D:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "D:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: &iSearch The Web - res://D:\WINDOWS\SYSTEM\TOOLBAR.DLL/SEARCH.HTML

O8 - Extra context menu item: &Google Search - res://D:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\nge-kazemule\local.htm

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200312...meInstaller.exe

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - http://toolbar.isearch.com/general/drm.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab

O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\V:)\MSTCP: Domain = golf

O17 - HKLM\System\CCS\Services\V:)\MSTCP: NameServer = 200.48.225.130,200.48.225.146

:oops:
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Entra al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina cualquiera de los siguientes procesos si existen:

D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF <<--- a no ser que lo conozcas

D:\WINDOWS\SYSTEM\CTVGROUPSREP.EXE <<--- a no ser que lo conozcas

D:\WINDOWS\SYSTEM\CHARCALCLIB.COM <<--- a no ser que lo conozcas

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

O2 - BHO: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\SYSTEM\TOOLBAR.DLL

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SERVPLAYERNL] D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF <<--- a no ser que lo conozcas

O4 - HKLM\..\Run: [svshots] D:\WINDOWS\svshots.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200312...meInstaller.exe

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - http://toolbar.isearch.com/general/drm.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab

O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Renombra estos archivos cambiandole la extension a .bak:

D:\WINDOWS\SYSTEM\SERVPLAYERNL.PIF <<--- a no ser que lo conozcas

D:\WINDOWS\SYSTEM\CTVGROUPSREP.EXE <<--- a no ser que lo conozcas

D:\WINDOWS\SYSTEM\CHARCALCLIB.COM <<--- a no ser que lo conozcas

Elimina estos archivos:

D:\WINDOWS\SYSTEM\TOOLBAR.DLL

D:\WINDOWS\svshots.exe

Ejecuta un escaneo completo con tu antivirus

Reinicia normalmente

Toma otro log después de seguir todas las instrucciones

Toma también el log de inicio de la siguiente manera.

Ejecuta el HijackThis, clic en config, clic en misc tools, marca la casilla list empty sections (complete), clic en generate startuplist

NOTA: Si algún archivo no se deja eliminar por estar en uso o por otras razones entonces con el hijackthis dale a config > misc tools > delete a file on reboot > selecciona el archivo a borrar para que sea eliminado automáticamente en el reinicio del sistema.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie