Resultados 1 al 2 de 2

Tema: Virus (Antivirus XP 2008)

  1. javilozca
    javilozca está desconectado
    Usuario registrado
    Fecha de ingreso
    02 ene, 07
    Mensajes
    33

    Virus (Antivirus XP 2008)

    Hola

    tengo el virus Antivirus XP 2008, en principio parece un programa que se autoinstala y dice que tengo 2860 infectados, no puedo quitar la pantalla de fondo en la cual figura dicho virus. no puedo acceder internet y se me ha infectado en otro ordenador mediante una memoria usb.
    He pasado varios programas como aboutbooster, reegseker...

    Aqui te paso el log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18:55:53, on 25/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\sdrmon.exe
    C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
    C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
    C:\Archivos de programa\QuickTime\qttask.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\lphc1c0j0e319.exe
    C:\WINDOWS\system32\Rundll32.exe
    C:\WINDOWS\system32\DOBE~1\rundll32.exe
    C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
    C:\Documents and Settings\Raul\Mis documentos\??stem\?explore.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Archivos de programa\WinRAR\WinRAR.exe
    C:\DOCUME~1\Raul\CONFIG~1\Temp\Rar$EX00.938\Hijack This.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SDR6Y_Check] "C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\sdrmon.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [d001126e] rundll32.exe "C:\WINDOWS\system32\trjokvnk.dll",b
    O4 - HKLM\..\Run: [lphc1c0j0e319] C:\WINDOWS\system32\lphc1c0j0e319.exe
    O4 - HKLM\..\Run: [SMrhc5c0j0e319] C:\Archivos de programa\rhc5c0j0e319\rhc5c0j0e319.exe
    O4 - HKLM\..\Run: [BMd33221f2] Rundll32.exe "C:\WINDOWS\system32\bjbnbndh.dll",s
    O4 - HKCU\..\Run: [Pwib] "C:\WINDOWS\system32\DOBE~1\rundll32.exe" -vt ndrv
    O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
    O4 - HKCU\..\Run: [Qig] "C:\Archivos de programa\?ymbols\d?dplay.exe"
    O4 - HKCU\..\Run: [Cfmesx] "C:\Documents and Settings\Raul\Mis documentos\??stem\?explore.exe"
    O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E128DC8C-2CC2-432A-9F69-A5AED1435F49}: NameServer = 62.42.230.24,62.42.63.52
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



    Creo que son las lineas 04 en la que hay una carpeta en el disco duro de nombre phc1c0j0e319 que no me deja borrar.


    Saludos y gracias

  2. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    Cierto es andas en razón. Tienes muchas cosas raras, muchas no soy capaz ni de saber lo que son xD

    haz lo siguiente:

    Sube este fichero a VirusTotal y si te dice que es virus lo eliminas:

    C:\WINDOWS\system32\DOBE~1\rundll32.exe


    Dale "fixed cheked" a las siguientes entradas del hijackthis:

    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [d001126e] rundll32.exe "C:\WINDOWS\system32\trjokvnk.dll",b
    O4 - HKLM\..\Run: [lphc1c0j0e319] C:\WINDOWS\system32\lphc1c0j0e319.exe
    O4 - HKLM\..\Run: [SMrhc5c0j0e319] C:\Archivos de programa\rhc5c0j0e319\rhc5c0j0e319.exe
    O4 - HKLM\..\Run: [BMd33221f2] Rundll32.exe "C:\WINDOWS\system32\bjbnbndh.dll",s
    O4 - HKCU\..\Run: [Pwib] "C:\WINDOWS\system32\DOBE~1\rundll32.exe" -vt ndrv
    O4 - HKCU\..\Run: [Qig] "C:\Archivos de programa\?ymbols\d?dplay.exe"
    O4 - HKCU\..\Run: [Cfmesx] "C:\Documents and Settings\Raul\Mis documentos\??stem\?explore.exe"



    Luego reinicia en modo a prueba de fallos localiza y borra los siguientes ficheros, comprueba que no sean algo que utilizas porque veo interrogaciones...y nose exactamente lo que significan:

    C:\Documents and Settings\Raul\Mis documentos\??stem\?explore.exe
    C:\WINDOWS\system32\lphc1c0j0e319.exe
    C:\WINDOWS\system32\trjokvnk.dll
    C:\Documents and Settings\Raul\Mis documentos\??stem\?explore.exe
    C:\Archivos de programa\?ymbols\d?dplay.exe
    C:\WINDOWS\system32\bjbnbndh.dll



    El truco esta en hacerlo desde modo a prueba de fallos para que si se dejen borrar

    Me comentas