Menú principal

Ayuda con un virus resistente please

Publicado por wolkmx, Enero 27, 2008, 07:32:45 PM

Tema anterior - Siguiente tema
Imprimir
Ir Abajo Páginas1
Acciones del Usuario

wolkmx

Enero 27, 2008, 07:32:45 PM
Bueno ya antes me habian ayudado hace algun tiempo, ahora la computadora de mi mamá se infecto por que no tiene internet, le pase el avg y lo actualize pero solo quito 2 archivos, luego lo desinstale y le pase el kaspersky 6, actualizado y todo y me borro bastantes archivos maliciosos, sin embargo al reiniciar y volver a pasarlo me detecta una y otra vez un autorun,inf y me saca la alerta de Trojan.PSW.Win32.OnLineGames.pqm y le doy eliminar pero en pocos segundos me vuelve a sacar al alerta:



y con un truco que aprendi por accidente, bueno no tiene nada de fascinante pero desde que lo hice por error siempre lo hago: tengo el acdsee como visor de imagenes, asi que este visor puede ver los archivos o carpetas ocultos, en este caso los virus, que de otra manera no puedo ver, en otras ocasiones los he podido eliminar asi, pero ahora no me deja los archivos que he encontrado son:



y el logfile es:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:07:38 a.m., on 28/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CAPM1RSK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ICO.EXE
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\lg_fwupdate\fwupdate.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Mx One\mogtr.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [UC_Start] C:\Archivos de programa\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Syslog] C:\crsvc.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-445553579-102638660-1797000123-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Consola de IBM Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6907 bytes

Espero que me puedan ayudar, de antemano gracias, por cierto corri el panda online y parecia no encontrar nada
<< Primus Inter Pares >>

Red Mx

#1
Enero 27, 2008, 07:53:47 PM
basicamente el virus es esta entrada

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

selecciona y dale fix check luego el archivo amvo.exe eliminalo con el unlocker

http://dscargar.com/Unlocker.htm


aun que tambien seria bueno que pases el scan pero a prueba de fallos

1. Reinicie Windows en modo a prueba de fallos presionando F8 cuando windows inicie o como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


comenta lo que pase


Dominios, Hosting Y Desarrollo Web, con la calidad de LDC.

wolkmx

#2
Enero 27, 2008, 08:18:36 PM
Oky gracias, de verdad eres mi heroe wey jeje, bueno ya he hecho lo que me has dicho, reinicie a prueba de fallos, con el hijackthis elimine la entrada, con el unlocker, borre el archivo y ahora le estoy pasando el antivirus, ya pongo que me ha sacado en unos minutos... :)
<< Primus Inter Pares >>

wolkmx

#3
Enero 27, 2008, 08:21:53 PM
Bueno aun sigue corriendo pero me ha sacado archivos infectados, en los archivos de restauracion del sistema de windows en C:\System Volumen Information\restore_... los he eliminado... ya vuelvo a escribir
<< Primus Inter Pares >>

wolkmx

#4
Enero 27, 2008, 10:11:26 PM
Ok muchas gracias parece ser que todo se ha solucionado, ha terminado el escaneo, me detecto otros tres archivos con virus y los elimino, busque la carpeta y el archivo autorun.inf que siempre creaba y ya no aparece, he reiniciado en modo normal y siguen si aparecer, ahora le paso de nuevo el escaner en modo normal pero parece que ya esta solucionado, en caso de que haya algun problema lo posteare, pero bueno todo parece indicar que ha sido eliminado.

Cabe destacar que MX-one si  me detectaba el virus en mi memoria USB y lo eliminaba, es decir la copia que hace la computadora infectada.

Muchas gracias por la ayuda, de verdad que personas como tu son un ejemplo a seguri , tanto por ayudar a quien lo necesita como por sacar adelante grandes ideas y convertirlas en grandes proyectos de alcance mundial.

Gracias de nuevo, como siempre seguire recomendando MXone
<< Primus Inter Pares >>

Red Mx

#5
Enero 28, 2008, 03:55:45 AM
gracias por tus palabras aqui estamos trabajando y larga vida a LDC  :D


Dominios, Hosting Y Desarrollo Web, con la calidad de LDC.

djtotal

#6
Enero 28, 2008, 09:37:10 PM
Muchas gracias por el aporte señor moderador yo tengo el mismo problema de virus lo pondre en práctica

Deegu!

#7
Enero 29, 2008, 05:41:24 AM
je je je Red no es el moderador es el administrador...casi Dios del foro xD

salu2


gracias a los usuarios de LDC por visitarnos y preferirnos
Imprimir
Ir Arriba Páginas1
Acciones del Usuario