VIRUS?

Estado
Cerrado para nuevas respuestas
P

prosky

Guest
#1
hola buenas,,.... Es la primera vez que escribo pero es que llevo unas semanas amarado porque no se si os pasa pero cuando no puedo arreglar algo me pongo de los nervios....Mi problema es que la linea no me tira, ademas el pc me va lento.La linea es ADSL 256 así que no se que podra pasar, por ello mado aquí mi HijackThis para que le echeis un ojo aver si alguien me puede echar una mano. gracias

Logfile of HijackThis v1.98.1

Scan saved at 2:21:57, on 21/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\winssv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\WINDOWS\System32\wuarclt.exe

C:\WINDOWS\System32\S-Update.exe

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\Prosky\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KitGenTelef] C:\ARCHIV~1\TELEFO~1\KITROU~1.1\KazFixRT.exe 80.38.122.72 255.255.255.0 80.38.122.1

O4 - HKLM\..\Run: [Internet Explore Updates] wyz.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\oymqivbj.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [windows update] wuarclt.exe

O4 - HKLM\..\Run: [Win32 Update] S-Update.exe

O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe

O4 - HKLM\..\Run: [wvsvc] wvsvc.exe

O4 - HKLM\..\RunServices: [Internet Explore Updates] wyz.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\RunServices: [windows update] wuarclt.exe

O4 - HKLM\..\RunServices: [Win32 Update] S-Update.exe

O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe

O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe

O4 - HKLM\..\RunOnce: [Win32 SSL Driver] winssv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [windows update] wuarclt.exe

O4 - HKCU\..\Run: [Internet Explore Updates] wyz.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe

O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe

O4 - HKCU\..\Run: [Win32 Update] S-Update.exe

O4 - HKCU\..\Run: [wvsvc] wvsvc.exe

O4 - HKCU\..\RunServices: [Win32 Update] S-Update.exe

O4 - HKCU\..\RunOnce: [Win32 SSL Driver] winssv.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (WficaCtl Object) - http://windows.uco.es/ICA603/es/ica32/wfica.cab

Bueno aquí lo dejo todo, ya e intententado arreglar algúnas cosas pero esto me va =.

espero respuesta

gracias
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Si dispones de un punto de restauración anterior a los problemas puedes intentar usarlo y después tomar otro log, si no dispones de un punto de restauración sigue las siguientes instrucciones:

Asegúrate que tu antivirus esté actualizado

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

C:\WINDOWS\System32\winssv.exe

C:\WINDOWS\System32\S-Update.exe

C:\WINDOWS\System32\wvsvc.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

O4 - HKLM\..\Run: [Internet Explore Updates] wyz.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\oymqivbj.exe

O4 - HKLM\..\Run: [windows update] wuarclt.exe

O4 - HKLM\..\Run: [Win32 Update] S-Update.exe

O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe

O4 - HKLM\..\Run: [wvsvc] wvsvc.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

O4 - HKLM\..\RunServices: [Internet Explore Updates] wyz.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\RunServices: [windows update] wuarclt.exe

O4 - HKLM\..\RunServices: [Win32 Update] S-Update.exe

O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe

O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:

O4 - HKLM\..\RunOnce: [Win32 SSL Driver] winssv.exe

Cada usuario dispone de un área en el registro de la forma HKEY_CURRENT_USER\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:

HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:

O4 - HKCU\..\Run: [windows update] wuarclt.exe

O4 - HKCU\..\Run: [Internet Explore Updates] wyz.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe

O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe

O4 - HKCU\..\Run: [Win32 Update] S-Update.exe

O4 - HKCU\..\Run: [wvsvc] wvsvc.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

O4 - HKCU\..\RunServices: [Win32 Update] S-Update.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:

O4 - HKCU\..\RunOnce: [Win32 SSL Driver] winssv.exe

Ya puedes cerrar el editor de registro.

Elimina estos archivos:

C:\WINDOWS\System32\winssv.exe

C:\WINDOWS\System32\S-Update.exe

C:\WINDOWS\System32\wvsvc.exe

Si existen elimina estos archivos:

wyz.exe

Winregs32.exe

C:\WINDOWS\System32\oymqivbj.exe

wuarclt.exe

winssv.exe

Escaneate con tu antivirus antes de reiniciar.

Nota: toma en cuenta que este gusano parece crear mas y mas copias de si mismo, por lo tanto para cuando vayas a seguir las instrucciones pueden existir mas copias del gusano con otro nombre, deberás entonces ahora tomar otro log antes de reiniciar y asegurarte que no existan entradas nuevas comparándolo con este que acaba de postear y sobre el cual estamos trabajando. Si existen entradas nuevas ejecuta el hijackthis, revisa las casillas de estas nuevas entradas, dale a fix y elimina los archivos a los cuales las nuevas entradas hagan referencia.

Reinicia normalmente, reactiva la opción de restaurar el sistema y toma otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie