Virus Nuevo, PC lenta y Problemas al abrir las USB

Arod · Agosto 19, 2009, 10:41:16 AM

Buenas, al parecer tengo un virus , le he mandado información a Mx One:

El archivo que envío es un virus y en Mx One Lab ya desarrollamos la
firma para este virus de nombre: Worm/VBNA.tw

Si me ayudan, gracias

Pc lenta y me da problemas con los exe, principalmente EXPLORE.EXE y me dice que tengo amenazas en un archivos exe en Document and Setting/....Server Total y otros exe.
También problema al abrir las usb.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:53:52 p.m., on 08/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Documents and Settings\Server Total\Mis documentos\Downloads\RocketDock\RocketDock.exe
C:\Archivos de programa\Clock\clock.exe
C:\Documents and Settings\Server Total\Mis documentos\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [RocketDock] "C:\Documents and Settings\Server Total\Mis documentos\Downloads\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Server Total] C:\Documents and Settings\Server Total\Server Total.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-823518204-362288127-839522115-1003\..\Run: [RocketDock] "C:\Documents and Settings\Server Total\Mis documentos\Downloads\RocketDock\RocketDock.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-823518204-362288127-839522115-1003 Startup: Clock.lnk = C:\Archivos de programa\Clock\clock.exe (User '?')
O4 - S-1-5-21-823518204-362288127-839522115-1003 Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\3CB023\24989E.EXE (User '?')
O4 - Startup: Clock.lnk = C:\Archivos de programa\Clock\clock.exe
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\3CB023\24989E.EXE
O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243543352720
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1243543939763
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98373107-C5EC-4586-B965-3252B9E24198}: NameServer = 200.75.200.2,200.75.200.3
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6596 bytes

Shun · Agosto 19, 2009, 12:10:31 PM

Cita de: Fitoschido en Agosto 19, 2009, 11:41:17 AM
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe

Fito sabes esos programas son para el buen funcionamiento de la pc si los borra solo va a conseguir empeorar la maquina esos puedes estar seguro que son programas para driver de la pc con tarjeta de video y sonido.

Los que yo creo que estan dudosos son:
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe

ya que no conozco un archivo que se ejecute desde la carpeta Windows.

saludos.

Deegu! · Agosto 19, 2009, 03:56:17 PM

busca el trojan remover... luego de eso pasale el ccleaner e instalate un buen antivirus (KIS, AVG, Avira ¿avast?)

nos leemos

Red Mx · Agosto 20, 2009, 12:16:42 PM

El virus es

O4 - HKCU\..\Run: [Server Total] C:\Documents and Settings\Server Total\Server Total.exe

Fix Check

Ahora bien y mx one lo detecta mx one lo puede eliminar solo analiza tu PC a modo prueba de falllos todo el disco C y ese virus sale facil.

Kikesan · Agosto 20, 2009, 09:21:16 PM

También estos dos son bastante sospechosos:

O4 - S-1-5-21-823518204-362288127-839522115-1003 Startup: Clock.lnk = C:\Archivos de programa\Clock\clock.exe (User '?')
O4 - S-1-5-21-823518204-362288127-839522115-1003 Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\3CB023\24989E.EXE (User '?')

Saludos.

Arod · Agosto 21, 2009, 07:20:02 AM

He eliminado el Server Total , el clock.exe es de un reloj que esta en escritorio y O4 - S-1-5-21-823518204-362288127-839522115-1003 Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\3CB023\24989E.EXE (User '?'), no se que es?

Tengo instalado el Karpesky actualizado, creo que el virus entro por una USB.
Si alguien me puede decir porque hay duplicados

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

Y otros mas

Saludos

Kikesan · Agosto 21, 2009, 11:40:12 AM

Hola,

los SVCHOST ni el CTFMON no creo que sean virus, se ve que están en la carpeta en la que deberían estar, respecto al otro 24989E.EXE, ese si se ve bastante sospechoso, súbelo a VirusTotal y postea el link del reporte.

Saludos.

Arod · Agosto 21, 2009, 12:51:10 PM

Kikesan, te debo lo del posteado, cuando le pase el Dr.Web y Elistara, en modo a prueba de fallo, me elimino esta entrada que contenían virus..

Las demás entradas estan bien, entonces demos el post por Solucionado.

Gracias a todos

Deegu! · Agosto 21, 2009, 02:08:39 PM

bueno y colorin colorado este tema se ha cerrado!!

nos leemos!!