Resultados 1 al 8 de 8

Tema: Problemas para eliminar el virus W32/Netsky.P.worm

  1. Incuenso
    Incuenso está desconectado
    Usuario registrado
    Fecha de ingreso
    25 jun, 06
    Ubicación
    Tenerife, España
    Mensajes
    79

    Problemas para eliminar el virus W32/Netsky.P.worm

    Hola a todos.

    Tengo un problema. Mi actual antivirus es el Panda Internet Security 2007 (actualizado y operativo) y me ha detectado un virus: el W32/Netsky.P.worm alojado dos archivos en la carpeta "archivos temporales de internet" (Sistema operativo Windows XP). Lo detecta tanto si se hace un análisis de la carpeta como por el sistema de protección automática permanente del antivirus. Cuando lo localiza no puede ni desinfectarlo ni eliminarlo, así que, o lo bloquea o lo manda a cuarentena. Una vez en cuarentena lo borro pero, aún así, cada vez que vuelvo a analizar la carpeta me vuelve a localizar el mismo virus en las mismas localizaciones (y pasa tanto con un análisis deliberado de la carpeta como con el sistema de protección automática, que me vuelve a avisar del virus cada determinado tiempo). Es más, aunque mande los dos archivos infectados a cuarentena y me diga el antivirus que se ha neutralizado el virus, aunque yo no lo toque de la cuarentena, como vuelva a hacer un nuevo anális de la carpeta de archivos temporales, me vuelve a detectar los dos mismos archivos infectados y vuelve a mandarlos a cuarentena, llenándose la cuarentena de los mismos archivos. Por todo, no sé cómo eliminar el puñero virus y pido ayuda a quien pueda dármela.

    Las direcciones de los archivos infectados por el virus son:

    1) C:\Documents and Settings\Zebenzui\Configuración local\Archivos temporales de Internet\Content.IE5\YZWXKZM5\CA01EB4X[message.scr]

    2) C:\Documents and Settings\Zebenzui\Configuración local\Archivos temporales de Internet\Content.IE5\YZWXKZM5\CAAZWHST.htm[message.scr]

    He intentado borrarlos manualmente pero dichos archivos no me aparecen en el explorador de windows. Llego hasta la carpeta de archivos temporales, no lo encuentro, así que borro todo el contenido de la carpeta, me lo permite y vacía; pero, al volver a pasar el antivirus me vuelven a aparecer archivos infectados.

    He intentado borrarlos en la cuarentena del antivirus, pero ya os expliqué lo que pasa.

    Me he bajado la utilidad de reparación de Panda para el virus W32/Netsky.P, pero al usarla, me dice que no hay rastro del virus en mi sistema.

    También he desactivado la utilidad de restaurar sistema del Windows, por si fuera eso, pero tampoco me soluciona nada.

    Esta es toda la información que puedo dar por ahora. ¿Sabe alguien cómo eliminarlo definitivamente?, ¿o qué estoy haciendo mal?, ¿o porqué no se me va?.

    Gracias de antemano y saludos.

  2. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    Sigue estas instrucciones y pegame el log que te genere el programa.


    http://www.destroyerweb.com/tutos/hijac ... ckthis.htm

  3. Incuenso
    Incuenso está desconectado
    Usuario registrado
    Fecha de ingreso
    25 jun, 06
    Ubicación
    Tenerife, España
    Mensajes
    79

    Resultado del Hijackthis

    El resultado del análisis es el siguiente:

    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
    c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Archivos de programa\WinRAR\WinRAR.exe
    C:\DOCUME~1\Zebenzui\CONFIG~1\Temp\Rar$EX00.543\Hi jackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
    O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/eng/billard9_2_0_0_29.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
    O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
    O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
    O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

  4. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    no esta completo el log copiamelo entero por favor

  5. Incuenso
    Incuenso está desconectado
    Usuario registrado
    Fecha de ingreso
    25 jun, 06
    Ubicación
    Tenerife, España
    Mensajes
    79
    Este es el contenido del archivo, no hay más..., no sé si antes me equivocaría con el copiar y pegar; si es así, perdón.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:07:13, on 01/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
    c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
    C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
    C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe
    C:\Archivos de programa\QuickTime\qttask.exe
    C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\MSN Messenger\msnmsgr.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
    C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
    C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
    c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Archivos de programa\WinRAR\WinRAR.exe
    C:\DOCUME~1\Zebenzui\CONFIG~1\Temp\Rar$EX00.543\Hi jackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
    O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/eng/billard9_2_0_0_29.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
    O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
    O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
    O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

  6. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    Pues yo no veo nada relevante, no tienes restos de ese malware que nos comentas...es posible que ya lo hayas eliminado o el antivirus lo haya hecho.

    Bueno la unica entrada que borraria seria esta:
    Entra en la ventana del hijackthis donde puedes marcar las entradas y señala la siguiente y dale a "fixed checked":

    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/eng/billard9_2_0_0_29.cab



    Reinicia el sistema y pasale este antivirus online con el internet explorer y me pegas el reporte

    Kaskersky online

  7. Incuenso
    Incuenso está desconectado
    Usuario registrado
    Fecha de ingreso
    25 jun, 06
    Ubicación
    Tenerife, España
    Mensajes
    79
    Hola.

    No he borrado ninguna entrada con el hijackthis porque parece que el virus dejó de darme la lata. Creo que el virus estaba alojado en las carpetas de archivos temporales de internet y que permanecía por ahí a pesar de vaciar su contenido en varias ocasiones; era como si no se pudiera acceder a él para borrarlo, no lo encontraba por ninguna parte, era como si estuviera oculto. Por ello, yo no podía encontrarlo ni borrarlo, ni el antivirus eliminarlo (lo único que podía hacer es detectarme una y otra vez el mismo virus). Con todo ello, parece que el problema se solucionó al utilizar un programita que me recomendaron para borrar cualquier tipo de archivo temporar (incluidos ocultos): se llama "ELI FILE TEMPO". Al pasar este programa me borró todos los archivos temporales y mi antivirus no ha vuelto a darme avisos relacionados con el virus en cuestión y, ni en los análisis de mi antivirus, ni en los análisis de antivirus online como el Kaspersky, me aparece rastro del virus.

    Así pues, yo creo que tengo el problema solucionado aunque sólo hice eso.

    Hasta luego.

  8. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    muchos malwares se alojan en los temporales, es muy común verlos por esa zona. Por eso es recomendable cada semana hacer una limpieza general al sistema.

    Me alegro que se solucionara el problema.
    Doy el tema por concluido entonces.
    un saludo