virus escondido

Estado
Cerrado para nuevas respuestas

iforci

Nuevo Miembro
Miembro
buenas a todos!!!

les cuento que estoy teniendo problemas con una maquína que tenía instalado el McAfee Firewall y pedía permanentemente conectarse (a direcciones con algún nombre "conocido" pero raras). así que le pasé el kaspersky y el AdAware y no encontraron nada. cada tanto el kaspersky tiraba un mensaje de que detectó un archivo con virtus en WINNT\Temp (un .tmp) y que no lo podía eliminar, lo dejaba para eliminarlo en la prox sesion.

así que intenté probar con el Spy Sweeper y no detectó nada. la cuestión es que me dejó de funcionar el firewall y tuve que desistalarlo porque sino no me andaba internet ni conección con la red.

así que por lo que les conté, está bastante escondido el virus. ahora, sin firewall, cuando hago un NETSTAT aparecen conexiónes a estas direcciones raras que les nombraba en ciertos puertos.

les paso el log del hijackthis a ver si les dice algo. gracias de ante mano por su ayuda!!!

(pos que están de color son los que yo reconozco como software instalado en esa maquína, o modificaciones que he hecho yo)

Logfile of HijackThis v1.99.1

Scan saved at 08:37:18 p.m., on 25/12/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Spy Sweeper\SpySweeper.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\Bopup Messenger\bopup.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

D:\La Web\Soft\HijackThis[www.trucoswindows.net] .exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/La%20Web/dise%F1o/inicio.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcpro-es.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Synchronization Manager] "mobsync.exe" /logon

O4 - HKLM\..\Run: [ASUS Probe] "c:\archivos de programa\ASUS\Probe\AsusProb.exe"

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [Bopup Messenger] "C:\Archivos de programa\Bopup Messenger\bopup.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.pcpro-es.com

O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Spy Sweeper\SpySweeper.exe
 

Caito

Ex- Mod
Miembro
Actualiza tu sistema acá : Buscar actualizaciones con Windows Update

(Si por algún motivo no puedes actualizar sigue con los demás pasos)

Borra todas las cookies y el registro con CCleaner: Descargar CCleaner | Utilidades - Análisis y Optimización

Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)

Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas) Descargar Ewido Anti-Malware | Seguridad - Anti-Spyware

Y esta aplicacion también (No necesita instalacion, dale si a todo)No te saltes este paso

ElistarA Descargar EliStarA | Seguridad - Anti-Spyware

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.

Saludos

Caito
 

iforci

Nuevo Miembro
Miembro
Muchas gracias por tu pronta respuesta. Perdon por no postear antes, pero bueno, mas vale tarde que nunca. He seguido al pie de la letra tus indicaciones. Paso a comentarte:

WINDOWS UPDATE

Hay una actualización de Service Pack 1 del IE6 que cuando quiere actualizarla me tira error. Así que tras varios intentos decidí saltear este paso.

CCLEANER

Pude limpiar todo.

AVG Anti-Spyware

Lo instalé y actualicé sin inconvenientes. Cuando termina de pasar por 1ra vez un análisis completo me da un error diciendome que "algo malo a ocurrido en la aplicación. el diagnóstico del error fue guardado en ...". no posteo el error completo para no hacerlo tan extenso. la cuestión es que volví a pasar un análisis completo dando el siguiente resultado:
---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 08:06:57 p.m. 02/01/2007
+ Resultado del análisis:

C:\WINNT\system32\__delete_on_reboot__m_s_g_q_3_2_._d_l_l_ -> Worm.Feebs.ju : No se realizó ninguna acción.
[1040] c:\winnt\system32\msgq32.dll -> Worm.Feebs.ju : No se realizó ninguna acción.
[1356] C:\WINNT\system32\msgq32.dll -> Worm.Feebs.ju : No se realizó ninguna acción.
[1392] C:\WINNT\system32\msgq32.dll -> Worm.Feebs.ju : No se realizó ninguna acción.
[1500] C:\WINNT\system32\msgq32.dll -> Worm.Feebs.ju : No se realizó ninguna acción.

::Fin del informe

Dice "No se realizó ninguna acción" porque lo mandó a cuarentena. Luego de generar el informe, fui a cuarentena y lo emliminé manualmente. para asegurarme de que todo marchó bien, lo ejecuté nuevamene dando el siguiente reporte:

---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 08:49:50 p.m. 02/01/2007
+ Resultado del análisis:

D:\La Web\Soft\Cracks & Serials\Colorer_2.03_by_TNT.zip/patch.exe -> Backdoor.Theef.111 : Limpios.
D:\La Web\Soft\Cracks & Serials\TNT-Colorer.v2.03_CRK.ZIP/patch.exe -> Backdoor.Theef.111 : Limpios.
C:\Archivos de programa\SWF2MP3\fff-crack.exe -> Logger.Banker.zn : Limpios.
D:\CD Maria\Fidel\Swf[1].to.Mp3.Converter.2.0_CRK-FFF.zip/fff-crack.exe -> Logger.Banker.zn : Limpios.

::Fin del informe

(aquí sí me di cuenta como poner eliminar antes de generar el reporte).

Así pasé al siguiente programa:

ELISTARA

En pantalla mostró los siguientes resultados cuando exploré la unidad C:

Nº total de Directorios: 1032

Nº total de Ficheros: 16492

Nº de ficheros Analizados: 7751

Nº de ficheros Infectados: 2

Nº de ficheros Eliminados: 2

Tiempo Transcurrido (seg.): 179

WORDREPAIR.DLL -> NavHelper (BHO)
LOADCOMCTL32VERSION5.DLL -> Puper-Is

...y la unidad D:

Nº total de Directorios: 4043

Nº total de Ficheros: 38928

Nº de ficheros Analizados: 2677

Nº de ficheros Infectados: 0

Nº de ficheros Eliminados: 0

Tiempo Transcurrido (seg.): 106

Aquí va el reporte completo de EliStarA


Tue Jan 02 20:51:53 2007

EliStartPage v13.00 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jan 02 20:52:42 2007

EliStartPage v13.00 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\AOPR\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\EasyRecovery\WORDREPAIR.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE--> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Kaspersky Anti-Virus Personal Pro\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.388_390_TO_5.0.391.EXE -->AutoExtraible

C:\WINNT\$NtServicePackUninstall$\LOADCOMCTL32VERSION5.DLL --> Eliminado, Puper-Is

Tue Jan 02 20:59:27 2007

EliStartPage v13.00 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\La Web\Soft\NUEVOS\SpeedFan\INSTALLSPEEDFAN427.EXE --> AutoExtraible

Finalmente, para estar mas seguros, ejecuté nuevamente el AVG con un análisis completo, dando el siguiente resultado:

---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 09:37:06 p.m. 02/01/2007
+ Resultado del análisis: No se encontró nada.
::Fin del informe

y una vez mas el ELISTARA, el siguiente resultado:

Unidad C:

Nº total de Directorios: 1032

Nº total de Ficheros: 16492

Nº de ficheros Analizados: 7749

Nº de ficheros Infectados: 0

Nº de ficheros Eliminados: 0

Tiempo Transcurrido (seg.): 157

...y la unidad D:

Nº total de Directorios: 4043

Nº total de Ficheros: 38928

Nº de ficheros Analizados: 2677

Nº de ficheros Infectados: 0

Nº de ficheros Eliminados: 0

Tiempo Transcurrido (seg.): 97

Así que parecería estar límpio ahora. Les paso nuevamente mi HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 09:53:22 p.m., on 02/01/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

D:\La Web\Soft\HijackThis[www.trucoswindows.net]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ASUS Probe] "c:\archivos de programa\ASUS\Probe\AsusProb.exe"

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [Bopup Messenger] C:\Archivos de programa\Bopup Messenger\bopup.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.pcpro-es.com

O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: msgq32.dll - {A2113AAD-A265-7144-F612-65CDE46BDF78} - c:\winnt\system32\msgq32.dll (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Escucho sus opiniones! (Yo ahora estoy mas convencido de que está andando bien la máquina) Muchisimas gracias!!!
 

Caito

Ex- Mod
Miembro
Esta está de más :

O21 - SSODL: msgq32.dll - {A2113AAD-A265-7144-F612-65CDE46BDF78} - c:\winnt\system32\msgq32.dll (file missing)

por lo demás lo veo muy limpio

yalgún problema ?

saludos

Caito
 

iforci

Nuevo Miembro
Miembro
Ejecuté le HijackThis, tildé el renglón que me marcaste y le dí al Fix Checked y se arregló (ya no aparece esa fila). finalmente ejecuté nuevamente el CCleaner.

Esto era lo que tenía que hacer? O hay algo mas?

Bueno, no puedo probarlo por el momento, pero parecería que ya no está el virus :D Vamos a ver que dice el usuario de esta PC cuando vuelva de vacaciones

Muuuuchas gracias!!!!!!!!!

iforci
 
Estado
Cerrado para nuevas respuestas
Arriba Pie