No se como quitar el virus

[Selkir]

Lo que estaba haciendo hasta ahora era eliminar el archivo foto.zip manualmente antes de iniciar sesión. Pero me di cuenta que habia un archivo de esos que se quedan cuando desinstalas un programa que es como una ventinita blanca con el borde azul, y que tenia por nombre tambien unos numeros (eran todo ceros). Lo elimine para ver que pasaba y parece que ese era el que reproducia el virus, porque hasta ahora no ha vuelto a pasar nada.



Muchas gracias por vuestras ayudas.

Saludos

[keko_2401]

prueba con programas de limpieza del host y etc... como por ejemplo elisatara o delpsguard. son maquinas de eliminar programillas de este tipo.

[Selkir]

Ok. Aunque de momento ya no he tenido ningún problema los pasare por si acaso.

[Selkir]

Esta mañana de repente me a vuelto a pasa lo mismo que la otra vez; empieza a enviar mensajes a todos mis contactos.
He ido a borrar los archivos manualmente y he visto que volvia a tener el archivo fotos.zip.

Le he pasado el Kaspersky online y me ha salido lo que tengo infectado, pero al seguir la ruta no la encuentro, llega a un punto en la cual no coincide con lo que yo tengo en mi PC.

Os puedo poner el informe, pero no se como subirlo. Es un .html

[J3R3M1AS]

Hola

La respuesta a tus problemas es MSNClenaer, una herramienta creada por infospyware que sirve para eliminar los malwares del msn, descargala, ejecutala en modo a prueba de fallosy listo..!

Me cuentas!!

bye

Descarga MSNClenaer:: http://msncleaner.softonic.com/

[Selkir]

Todos estos son los archivos que me dice Kaspersky OnLine que estám infectados:

C:\Documents and Settings\Selkir\Configuración local\Archivos temporales de Internet\Content.IE5\GHUJWXYB\serv1-5[1].exe     Infectados: Trojan-Downloader.Win32.Delf.czz

C:\Documents and Settings\Selkir\Configuración local\Archivos temporales de Internet\Content.IE5\OD234H6V\serv1-3[1].exe     Infectados: Trojan-Downloader.Win32.Delf.czz

C:\Documents and Settings\Selkir\Configuración local\Archivos temporales de Internet\Content.IE5\OD234H6V\serv1-3[2].exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\Documents and Settings\Selkir\Configuración local\Archivos temporales de Internet\Content.IE5\ODE3STUV\serv1-4[1].exe    Infectados: Trojan-Proxy.Win32.Agent.zm

C:\Documents and Settings\Selkir\Configuración local\Archivos temporales de Internet\Content.IE5\ODE3STUV\serv1-6[1].exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc10.exe     Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc11.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc3.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc4.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc5.exe    Infectados: Trojan-Proxy.Win32.Agent.zm

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc6.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc7.exe    Infectados: Trojan-Proxy.Win32.Agent.zm

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc8.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\RECYCLER\S-1-5-21-839522115-436374069-725345543-1003\Dc9.exe    Infectados: Trojan-Proxy.Win32.Agent.zm

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021914.exe     Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021915.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021916.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021917.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021918.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021919.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021925.exe    Infectados: Trojan-Downloader.Win32.Delf.epg

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021926.exe    Infectados: Trojan-Downloader.Win32.Delf.epg

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021927.exe    Infectados: Trojan-Downloader.Win32.Delf.epg

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021928.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021929.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP121\A0021930.exe    Infectados: Trojan-Downloader.Win32.Delf.czz

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP125\A0022779.exe    Infectados: Backdoor.Win32.IRCBot.bnx

C:\System Volume Information\_restore{41A1A0A2-410F-4A8D-9F79-EBE1DC25C23D}\RP126\A0023408.exe    Infectados: Backdoor.Win32.IRCBot.bnx

C:\WINDOWS\system32\browser32.exe     Infectados: Backdoor.Win32.IRCBot.bnx


En muchos casos no termino de encontrar la ruta y en otros no encuentro el archivo.

Mañana le pasaré el MSNCleaner a ver que tal, pero lo he puesto por si sirve de algo.

[J3R3M1AS]

Hola

Mira te cuento porque no encontraste la ruta o algunos archivos: la carpeta C_\system volume information\ es una carpeta super oculta del sistema, ya que alli se guardan los puntos de restauracion de "restaurar sistema" osea que cada vez que restauras sistema, alli se encuentran los datos para la restauracion, pero hay malwares, (como en tu caso) que infectan estos puntos de restauracion, para que, cuando restaures sistema a uno de esos puntos, te infectes nuevamente, estos archivos no te dejaraá eliminarlos, pero lo que puedes hacer es "apagar restaurar sistema", reiniciar, y volver a activar "restaurar sistema"; con esto que hacemos? creamos nuevos puntos de restauracion y eliminamos los anteriores infectados, se entendió?

espero el reporte del msnclenaer que se encuentra en c:\msncleaner.txt

bye

[Selkir]

Este es el reporte del MSNCleaner hecho en el modo seguro:

- Reporte MSNCleaner 1.5.8 by www.forospyware.com - Reporte Creado: 13/03/2008 a las 0:07:33 - Sistema Operativo: Windows XP - Modo de Inicio: Prueba de fallos _________________________________________ Archivos detectados: 0 Archivos eliminados: 0 Archivos no eliminados: 0 <<<<<<< No se ha encontrado ningún archivo >>>>>>>

...pero lo que puedes hacer es "apagar restaurar sistema", reiniciar, y volver a activar "restaurar sistema"; con esto que hacemos? creamos nuevos puntos de restauracion y eliminamos los anteriores infectados, se entendió?

Si que lo he entendido, pero ¿como se hace eso de apagar y volver a activar?

[J3R3M1AS]

como apagar restaurar sistema: http://www.ayudapc.com/sistemas-operativos/435-desactivar-o-apagar-restaurar-sistema.html

para activarlo realiza lo mismo pero al reves

bye

me cuentas!

[Selkir]

El reporte sigue siendo el mismo de antes, he hecho lo de apagar restaurar sistema y sigo teniendo el virus.

¿Que más puedo hacer?

[J3R3M1AS]

hola

viendo que es un malware pesaado, vamos a tener que recurrir a la 'artilleria pesada'

descarga GMER AntiRootkit, si encuentra algun rootkit, te dará alerta, y deberás eliminarlo normalmente sale en rojo

despues descarga Hijackthis v2.0.2 y pega el log que este te genere y dejame para analizarlo

suerte...!

[Selkir]

Si puedes pasase un link del GMER AntiRootkit, porque creo que el me he bajado no es el correcto.

Y el Hijackthis v2.0.2 no se como usarlo, que está todo en ingles y no me entero de nada.




Pd. Perdon si parezco tan cazurro, pero sk la informatica no la domino, solo k la electronica jeje

[J3R3M1AS]

GMER Anti rootkit: http://www.infospyware.com/Anti-Rootkits.htm

en el hijackthis solo debes hacer clic en el primer boton,el q esta remarcado con negrita; el escaneo dura unos segundos, cuando termine, se abre automaticamente un bloc de notas, eso copia y pegalo en tu post

no hay problema, no considero cazurro a nadie, nadie nace sabiendo   

bye

[Selkir]

Esto es lo que me salia en el hijackthis:

Código:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:02, on 21/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Selkir\Mis documentos\gmer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Browser Services] browser32.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\Selkir\CONFIG~1\Temp\74.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [PC Booster] C:\Archivos de programa\inKline Global\PC Booster\PCBooster.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7299 bytes

En el GMer no me sale nada en rojo, por lo tanto no puedo eliminar.

[J3R3M1AS]

El log de hjt muestra infecciones, pero tambien indica que lo hiciste en modo a prueba de fallos, tendrias que repetirlo en modo normal, para que yo pueda ver todos los procesos en ejecucion, digo, para eliminar todo de una sola vez ya

bye