virus Nestky

Estado
Cerrado para nuevas respuestas

vioyol

Nuevo Miembro
Miembro
#1
Hace tiempo que arrastro este virus en mi correo de incredimail. Por suerte no lo he ejecutado nunca y el Kaspersky me lo desinfecta cada vez que abro el correo, pero claro siempre vuelven a salir mensajes infectados. Por favor, me podéis ayudar a eliminarlo?

Os envio el log

Gracias anticipadas.

Logfile of HijackThis v1.98.2

Scan saved at 19:36:17, on 13/12/2004

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Visual IP Insight\ES\ARMon32a.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\Explorer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINNT\loadqm.exe

C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Visual IP Insight\ES\ARUpld32.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\ARCHIV~1\INCRED~1\bin\ImNotfy.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\yolanda1\Mis documentos\YOL\PROGRAMES VAIXATS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O2 - BHO: Helper Class - {0034C07B-6FB8-43a1-B6C8-FB838EDB558E} - C:\Archivos de programa\Terra Messenger\TIDBar.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Terra - {BEBF337B-9073-4574-9FC1-E0175BB25292} - C:\Archivos de programa\Terra Messenger\TIDBar.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\W

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [mxcjpogjful] C:\WINNT\System32\svcrehwh.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Messenger] C:\ARCHIV~1\TERRAM~1\Messenger.exe runonboot

O4 - Startup: Shadow Scheduler.lnk = C:\Archivos de programa\Diary\shadow.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Nueva carpeta\Webshots\Collections\Webshots\WebshotsTray.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Ic - {14051602-5C4E-11d6-916B-00E02964E8E3} - C:\WINNT\System32\iconos (file missing)

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\milesdecuriosidadeses\milesdecuriosidadeses.exe (file missing)

O9 - Extra button: Terra Messenger - {DDA7DD62-BE78-4653-BA68-66B5C76C64C2} - C:\ARCHIV~1\TERRAM~1\Messenger.exe

O9 - Extra 'Tools' menuitem: Terra Messenger - {DDA7DD62-BE78-4653-BA68-66B5C76C64C2} - C:\ARCHIV~1\TERRAM~1\Messenger.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {6ED16EFF-3B18-11D6-9139-00E02964E8E3} (SCDataDialer Class) - http://www.dinerotica.com/download/ocio/cabdll.cab

O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{19AAD07E-D1CA-45C6-9F05-A52DA2CF678F}: NameServer = 212.166.64.1 212.166.64.2
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

no estás infectado por el Nestky, si te llegan correos con el gusano es que tus contactos si lo están, pero tu no. Aun así vamos a limpiar algúnas cosas de tu log

Por favor, bájate e instala el programa Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

03 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\W

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [mxcjpogjful] C:\WINNT\System32\svcrehwh.exe

O4 - Startup: Shadow Scheduler.lnk = C:\Archivos de programa\Diary\shadow.exe <<-- solo si no la conoces

O9 - Extra button: Ic - {14051602-5C4E-11d6-916B-00E02964E8E3} - C:\WINNT\System32\iconos (file missing)

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\milesdecuriosidadeses\milesdecuriosidadeses.exe (file missing)

O16 - DPF: {6ED16EFF-3B18-11D6-9139-00E02964E8E3} (SCDataDialer Class) - http://www.dinerotica.com/download/ocio/cabdll.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\WINNT\System32\svcrehwh.exe

Reinicia normalmente.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

vioyol

Nuevo Miembro
Miembro
#3
Bien, he seguido los pasos y lo único que no he podido hacer es la actualización del Windows update pues no sé porque motivo no permite la conexión. Si tiene que ver con el vshield, quisiera borrarlo de mi pc pues me crea conflictos con el Kaspersky que estoy bastante más satisfecha.Pero no sé como eliminarlo.

Envio el log

Gracias de nuevo.

Logfile of HijackThis v1.98.2

Scan saved at 21:37:28, on 15/12/2004

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Visual IP Insight\ES\ARMon32a.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\Explorer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINNT\loadqm.exe

C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Archivos de programa\Webshots\Nueva carpeta\Webshots\Collections\Webshots\WebshotsTray.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\Archivos de programa\Visual IP Insight\ES\ARUpld32.exe

C:\Documents and Settings\yolanda1\Mis documentos\YOL\PROGRAMES VAIXATS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Messenger] C:\ARCHIV~1\TERRAM~1\Messenger.exe runonboot

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Nueva carpeta\Webshots\Collections\Webshots\WebshotsTray.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{19AAD07E-D1CA-45C6-9F05-A52DA2CF678F}: NameServer = 212.166.64.1 212.166.64.2
 

alnitak

Ex-Admin
Miembro
#4
No veo el autoarranque del VirusScan a pesar de ver el proceso activo, ya lo has intentado desinstalar y no se ha dejado ?

Puedes intentar reinstalarlo y después desinstalarlo a ver si se deja, busca también entre los servicios para ver si se arranca como servicio:

Inicio >> ejecutar >> msconfig >> pestaña servicios >> si existe la entrada la desmarcas >> aceptas y reinicias
 

vioyol

Nuevo Miembro
Miembro
#5
Hola. Pues antes no había intentado desinstalarlo pero si había desactivado el autoarranque en la consola de virus scan creyendo que eso desactivaria el antivirus, pero arranca igualmente al inicio.

He intentado entrar en el msconfig pero aparece un error de que no se encuentra ese archivo o uno de sus componentes. ?
 

alnitak

Ex-Admin
Miembro
#6
Si no vas a dejar el viruscan como residente no tiene sentido mantenerlo instalado porque para escanear tienes Kaspersky que es bastante superior, así que te aconsejo desinstalarlo.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie