Hola tengo problema con el Virus worm/autorun.vb.eg

eduarths · Julio 21, 2009, 01:09:52 PM

Sres:

Tengo el virus worm/autorun.vb.eg la cual al pasar el Scaner no logra eliminarlo pues sale un mensaje : "Bad File" y lo elimina aparentemente peroi luego se reinstala...agradeceria saber que se puede hacer contra esto...Saludos

Eduardo.

Red Mx · Julio 21, 2009, 01:12:04 PM

Escanea tu PC completamente un par de veces con el antivirus perfectamente actualizado.

Shun · Julio 21, 2009, 08:42:29 PM

yo tengo el mismo problema pero con otro virus el cual no ha sido identificado al parecer por ningun antivirus ha sido creado el 4 de julio segun el archivo aki le dejo el link a ldcmx para que lo analizen por favor. este virus crea un autorun.inf y cuando es eliminado lo vuelve a crear automaticamente ademas guarda una copia de respaldo en la carpeta temporal pero con otro nombre y hace que se ejecute cada vez que se inicia el sistema.

http://www.4shared.com/file/119733070/9dfd825f/86l2qw.html

Gracias.

Kikesan · Julio 21, 2009, 10:46:13 PM

Hola,

Cual es el password del archivo??
EDIT: Lo adiviné, es 1 jeje.
Kaspersky lo detecta como Trojan-GameThief.Win32.Magania.bldb

Saludos.

Shun · Julio 22, 2009, 08:49:53 AM

jejeje se me olvido decir el password

jejeje ya solucione el problema con el USBDoctor, Ccleaner y EliStarA, lo subi xq no me acuerdo de donde lo baje :p, http://www.4shared.com/file/119836890/cbe5bc8e/EliStarA.html
no tiene pass.
Instale el USBDoctor en el disco C, D, F y E para que dejara de crear autorun.inf luego borre el virus creando uno en blanco con el block de notas limpie la pc con el Ccleaner y por ultimo le pase el EliStarA dandole si a todo lo que aparecia y analizando todos los discos.

Saludos.

darklive32-ØD§T · Julio 22, 2009, 12:30:52 PM

@ shun:

disculpa shun cuando se infecto tu computadora al iniciar windows te salia la comprobacion del disco duro por que creo que que se me pegó a mi tambien alquererlo en viar al lab me ehcharias una mano porfa

darklive32-ØD§T · Julio 22, 2009, 12:48:09 PM

ayuda!!!!! red mx, deegu! y fitoschido

necesito que me ayuden a eliminar el mismo virus que shun tenia y es el mismo ya que queria mandarlo al lab cuando se me infecto la computadora

aquiesta el link de donde habla shun:

http://ldcmx.info/foro/index.php/topic,1745.msg8795/topicseen.html#msg8795

porfa ayudenme ya estoy utilizando el kaspersky virus removal tool pero no puedo iniciarlo en modo aprueba de errores porque me dice erro en volcado de memoria o algo asi la idea es que la pantalla se pone azul con codigos, ya antes me habia pasado en otra compudadora pero con virus diferentes y si me dejaban en modo aprueba de errores.

ademas el kaspersky no pasa del 1% y so que casi no hay programas instalados en la compu

darklive32-ØD§T · Julio 22, 2009, 02:42:06 PM

el dr.web version 5 y si por que ademas de que tiene muchisimas firmas no logro identificarlo

Red Mx · Julio 22, 2009, 03:27:37 PM

mmm haber vamos a hacerlo manualmente.

Baja este programa

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Sigue la instrucciones de este manual.

http://ldcmx.info/foro/index.php/topic,715.0.html

Y pega tu log en este post.

darklive32-ØD§T · Julio 22, 2009, 03:49:32 PM

mmm oye ya he analizado con el kasper y como lo dije arriba estaba al 1% porque?

darklive32-ØD§T · Julio 22, 2009, 03:56:13 PM

a qui esta:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:54:25 p.m., on 22/07/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Users\yoe\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DrWeb\spideragent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\spiderui.exe
C:\Program Files\Mx One\mogtr.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\yoe\Desktop\tool_en\ClamWinPortable.exe
C:\Users\yoe\Desktop\tool_en\App\clamwin\bin\ClamWin.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskmgr.exe
C:\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.mx.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.mx.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVGLS\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Windows\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Program Files\Mx One\mogtr.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Startup: is-83IVR.lnk = C:\Users\yoe\Desktop\Virus Removal Tool\is-83IVR\startup.exe
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt333MXMX
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/SmileyCentralFWBInitialSetup1.0.1.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9058 bytes

Shun · Julio 22, 2009, 07:09:38 PM

mi pc duro infectada solo 4 máximo, ya que los virus me molestan

y hasta que no los elimino no me quedo tranquilo.

Cuando la reiniciaba no salia nada de comprobación de disco.

intenta entrar en modo seguro, borra los temporales, y luego pasale el EliStarA (trata de hacer esto en otra cuenta preferiblemente en la de administrador), si te es posible escanea con el mxone y luego el antivirus residente.
tienes que ver si estas entradas "C:\Windows\system32\Dwm.exe" "C:\Windows\system32\conime.exe" son algunos programas necesarios en tu pc ya que probablemente puede que sean los virus ya que el virus que yo tenia se multiplicaba con otros nombres y en ejecutables.

Mas sin embargo esta si que pueda ser el virus inicial "C:\Users\yoe\AppData\Local\Temp\RtkBtMnt.exe" ya que esta en la carpeta temporal la cual deberas limpiar.

Y esta la puedes desctivar la entrada ojo no borrar el archivo "C:\Windows\System32\rundll32.exe" ya que no es necesaria para el inicio del sistema ya que se abre por servicios.

te aviso mas despues que estoy revisando el procedimiento que hice para borrar ese bendito virus.

darklive32-ØD§T · Julio 22, 2009, 07:41:15 PM

pero me quedo una duda: a mi no se me creo ningun archivo auorun.inf asi que baje el kaspersky ahorita la estoy analizando

darklive32-ØD§T · Julio 22, 2009, 07:45:11 PM

ha!!! se me olvidaba tengo 2 rundll32.exe en el administrador y si al principio tambien me salia el chkdsk para la comprobacion

Shun · Julio 22, 2009, 08:18:47 PM

bueno el rundll.exe solo busca nuevos dispositivos aparte de mostrar ciertas ventanas del sistema operativo por eso no es necesario que se ejecuten al inicio de sesion ya que se cargan por servicios si se ejecutan solo es A VECES que algo anda mal.

si no te aparecia el autorun entonces el virus esta jugando contigo de otra forma o es una variante de ese mismo virus.