¿virus?

Foro referente al sistema operativo Windows XP
angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

¿virus?

Mensajepor angelssent » 18 Feb 2012, 22:30

hola a todos,os cuento , el otro dia a un amigo al abrir una pagina de internet se le metio una cartelito que simulaba ser el centro de seguridad de windows como haciendo una limpieza y sacando que tenia virus,el caso es que ha tenido que formatear el pc por que no habia manera de quitarlo ni con Malwarebytes ni nada, no te dejaba restaurar ni pasarle el nod porque lo habia digamos que quitado.

ahora resulta que abro yo una pagina nada sospechosa y se me mete el mismo cartel y lo que he hecho ha sido pararlo y reiniaciar el pc,ahora le estoy pasando el Malware y la verdad es que estoy acojonado,por ahora no ha vuelto a salir ese centro de seguriad

Os suena esto

angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

Re: ¿virus?

Mensajepor angelssent » 18 Feb 2012, 22:39

le he pasado el programita vuestro y me sale esto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:51, on 18/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\archivos de programa\real\realplayer\update\realsched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\IncrediMail\bin\IncMail.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Logitech\SetPoint\KEM.exe
C:\Archivos de programa\Logitech\SetPoint\KHALMNPR.EXE
C:\Archivos de programa\IncrediMail\Bin\ImApp.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://clima.msn.com/hourly.aspx?wealoc ... greetype=C
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Datos de programa\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TNOD UP] "C:\Archivos de programa\TNod User & Password Finder\TNODUP.exe" /i
O4 - HKLM\..\Run: [TkBellExe] "C:\archivos de programa\real\realplayer\update\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-LADF6.exe" /REG /REGSVRMODE
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Internet Explorer] C:\Archivos de programa\Internet Explorer\iexplore.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://24.49.47.102:7150/activex/AMC.cab
O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - http://cam3.tankedcam.com:9657/bl_camera.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://trafico.sctfe.es/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://193.111.254.182/activex/AMC.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrYNSvc - Brother Industries, Ltd. - C:\Archivos de programa\Browny02\BrYNSvc.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe

--
End of file - 10613 bytes

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: ¿virus?

Mensajepor Souto » 18 Feb 2012, 22:53

Hola, el sistema está infectado.
La entrada
O4 - HKCU\..\Run: [Internet Explorer] C:\Archivos de programa\Internet Explorer\iexplore.exe
es falsa y apunta a bichería.
Espera a ver que resulta del Malwarebytes.

Saludos
Qui dove il mare luccica e tira forte il vento

angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

Re: ¿virus?

Mensajepor angelssent » 18 Feb 2012, 23:10

gracias souto,cuando acabe te lo pongo,pero te suena esa clase de bicho,detras del cartelito salia mi pc abierto con un punto rojo a algo asi en cada disco duro indicando un numero determinado de infecciones, 6 si no recuerdo mal

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: ¿virus?

Mensajepor Souto » 18 Feb 2012, 23:18

angelssent escribió:gracias souto,cuando acabe te lo pongo,pero te suena esa clase de bicho,detras del cartelito salia mi pc abierto con un punto rojo a algo asi en cada disco duro indicando un numero determinado de infecciones, 6 si no recuerdo mal

En general esa entrada en "Run" se atribuye a un gusano; pero, ya digo, espera a ver que dice el Malwarebytes y si no detecta nada le entramos con munición pesada.

Saludos
Qui dove il mare luccica e tira forte il vento

angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

Re: ¿virus?

Mensajepor angelssent » 19 Feb 2012, 01:31

aqui el resultado

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.02.18.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrador :: DESKTOP [administrador]

18/02/2012 22:18:03
mbam-log-2012-02-18 (22-18-03).txt

Tipos de Análisis: Análisis Completo
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 358109
Tiempo transcurrido: 3 hora(s), 1 minuto(s), 59 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> No se tomaron medidas.

Valores del Registro Detectados: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|TNOD UP (Trojan.Agent.CK) -> datos: "C:\Archivos de programa\TNod User & Password Finder\TNODUP.exe" /i -> No se tomaron medidas.

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 15
C:\Archivos de programa\TNod User & Password Finder\TNODUP.exe (Trojan.Agent.CK) -> No se tomaron medidas.
C:\Archivos de programa\ADSLNet\Navigation Tools\FastAntiSpyware.exe (Rogue.FastAntivirus) -> No se tomaron medidas.
C:\Archivos de programa\Word Magic Software\6.0\Programs\Patch.exe (Riskware.Tool.CK) -> No se tomaron medidas.
C:\Archivos de programa\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\1-ANTIVIRUS\eset\nod\Medicina\MiNODLOGiN.v3.9.5.5.B2\bdl3.9.5.5beta2.exe (Riskware.KG) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\1-ANTIVIRUS\eset\nod 32 (FUNCIONA)\TNod-1.4.1.0-final-setup.exe (Trojan.Agent.CK) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\2-LIMPIADORES\Driver Magician 3.51.Incl.Patch.v3.x-DCore.[Modified.by.waTa]\Patch\driver.magician.3.x-patch.exe (PUP.Hacktool.Patcher) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\2-LIMPIADORES\Everest.5.0.1650.All.Edition_KEYGEN-FFF\Everest.5.0.1650.All.Edition_KEYGEN-FFF\Everest.5.0.1650.All.Edition_KEYGEN-FFF.exe (RiskWare.Tool.CK) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\4-REPRODUCTORES Y GRABADORES\ACDSee\Fotoslate.4\keygen.exe (Trojan.Dropper.PGen) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\Serial_Válido_Windows_Genuine_Para_Windows_XP_Profesional_Corporate_Garantizado_Por_Luismi\KEY CHANGER.exe (RiskWare.Tool.CK) -> No se tomaron medidas.
F:\PROGRAMAS\PENN\Serial_Válido_Windows_Genuine_Para_Windows_XP_Profesional_Corporate_Garantizado_Por_Luismi\otras formasWindowsGenuine\otra\RemoveWGA.exe (PUP.RemoveWGA) -> No se tomaron medidas.
F:\PROGRAMAS\PROGRAMAS GRANDES\Adobe Photoshop CS5\CORE10k.EXE (Dont.Steal.Our.Software) -> No se tomaron medidas.
F:\PROGRAMAS\PROGRAMAS GRANDES\Adobe Photoshop CS5\keygen.exe (Trojan.Agent.CK) -> No se tomaron medidas.
F:\PROGRAMAS\PROGRAMAS GRANDES\TRADUCTOR\Word.Magic.Suite.Premier.v6.3.WinALL.Cracked-BRD\Crack\Patch.exe (Riskware.Tool.CK) -> No se tomaron medidas.
C:\System Volume Information\_restore{9F2907CF-63DC-4BB4-B112-7137409E613E}\RP257\A0041921.exe (Trojan.Agent.CK) -> En cuarentena y eliminado con éxito.

fin)

angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

Re: ¿virus?

Mensajepor angelssent » 19 Feb 2012, 01:35

solo he tomado medidas con este

C:\System Volume Information\_restore{9F2907CF-63DC-4BB4-B112-7137409E613E}\RP257\A0041921.exe (Trojan.Agent.CK) -> En cuarentena y eliminado con éxito.

porque todo lo demas lo conozco y es de fiar

angelssent
Usuario apantallao
Usuario apantallao
Mensajes: 233
Registrado: 25 Feb 2008, 10:37
Contactar:

Re: ¿virus?

Mensajepor angelssent » 20 Feb 2012, 08:49

ayer intento meterse otra vez ,lo pare con la cruz y lo reinicie y parece que lo evite a tiempo,le pude hacer una captura
lo que pasa es que aunque lo evite, hay algo que hace que quiera meterse ,no creo que sea por casualidad.

me paso al abvrie la misma pagina que la vez anterior,pero es una pagina qu he visto miles de veces y nunca me habia pasado nada (Snotr The ultimate place for great videos!)

Imagen


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: Majestic-12 [Bot] y 2 invitados