Virus que me trae de cabeza

SKoR

No es exactamente un virus, pero no he sabido definirlo. Antes que nada decir que tengo el nod32 actualizado y el spybot tmb y habiendo pasado el scan de los 2 no me han solucionado el problema.

El problema es de navegacion. El virus este no me deja entrar en muchas paginas como buscadores, meneame.net, tuenti etc aun que en otras como esta si. Cuando intento acceder a cualquiera de las antes nombradas se queda cargandola infinitamente y no entra, lo mismo pasa con el buscador de google.

He borrado todos los tmporales de firefox y de iexplorer tambien, y he comprobado que en otras sesiones no ocurre esto. Como remedio seria trasladarme de sesion, pero tengo aqui todas las configuraciones y puede que me ocurra otra vez.

He notado que cuando en IE intento hacer una busqueda en google se me habre una pagina "EL MEJOR ANTISPYWARE" y otras varias(2quickfind) que son virusacos grandes. Una vez cargada esta pagina , durante un rato la navegacion es completamente normal.

Como puedo desacerme de esto ?

Baptiste

Prueba a pasarle un anti rootkit online, conectate a la web de panda o la de sophos y haz un escaneo online

http://www.google.es/search?hl=es&rlz=1B3GGGL_esES250ES251&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=anti+rootkit&spell=1

A mi me soluciono un problema en un pc en el q buscabas en google, pinchabas vinculo y te llevaba donde le daba la gana.

SKoR

Ya probe todo, no encontro nada, cagonlama.... Alguna opcion mas ?

basili0

http://download.ewido.net/ewido_micro.exe
es tu solucion

HoRTeL

Yo pillé eso, o muy parecido, lo solucionó el ComboFix

Shaka

Lo suyo seria que le pasaras el "hi jack this" y sin quitar nada, pegaras aki el reporte y asi t podriamos decir que quitar y que dejar.

Despues de esto actualizas nod32 y arrancas el ordenador en modo a prueba de fallos, y le pasas el nod32 de esa manera y luego el ad-aware 2007 (eso bajatelo de donde creas :p).

Con eso deberias de limpiarlo. Pero importante es que no quites nada del hijackthis sin saber, t puedes llevar por delante el arrranque de windows.

SKoR

Estoy por usar combofix, a ver que tal, pero es que he usado ya tantos spywares... el que me pusieron ahi arriba esta genial me detecto muchisimas cosas incluso 3 troyanos pero la cosa sigue igual.

Esto me da hi jack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:07, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Archivos comunes\Logitech\KhalShared\KHALMNPR.EXE
C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery Live.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

Hay un cacho mas de analisis los R1 R2 R3 etc pero supongo que solo querras ver los programas en ejecucion. Coloco lo demas ?

Compare la lista de ejecucion con la de otra sesion en la q no tengo el problema y no veo nada raro puede q se me escape algo.

Shaka

vuelvo a las 4 al curro ahi t respondo tio sorry. aunque se ve limpio

TheV1ruSS

a mi me paso algo parecido..estaba infectado con vundo,(virtumode), se arreglo con esto: http://www.softpedia.com/get/Antivirus/VundoFix.shtml

HoRTeL

Prueba con el de #9 o con el Combofix se te va seguro, no son antispywares son como parches específicos.

Shalauras

El ComboFix recomiendan no usarlo por varios foros, yo nunca lo probé, es lo que veo por ahí...

Shaka

#7 ponme el listado completo para ver que cosas carga al arrancar el S.O. y ya sobre eso t confirmo si t falta por quitar algo o no.

Hasta las 7 estare por los foros.

Por cierto no podeis poneros a usar herramientas anti troyanos-gusanos sin saber que teneis en vuestro ekipo.

Shaka

Nada tio me largo hasta el lunes en la playaaaa, ya t conmtestare el lunes si quieres !!!!

SKoR

Muchas gracias, el lunes a ver si ves algo. Creo que llevas razon en que no es spyware sino otra cosa, son demasiados programas los no han dado con el. Y sobre el programa ese combofix tmb lei algo raro buscando, no se xk motivos sera peligroso. Alguient tiene idea?

EDIT: He usado #9 vundofix, y no ha encontrado nada, creo q me rindo ya.

El resto del log es esto
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {bb8efe79-70b6-787a-cbf4-56dcad994c12} - {21c499da-cd65-4fbc-a787-6b0797efe8bb} - C:\WINDOWS\system32\urdxwtnr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV1\SPYBOT1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B43BD31B-0832-4BBE-9865-C7852CDC5E3B} - C:\WINDOWS\system32\rqRjgHWq.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O2 - BHO: (no name) - {F86B11F3-0CE1-475F-9541-5329BF7B3597} - C:\WINDOWS\system32\khfGWQHb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe
O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM..\Run: [NodLogin] C:\Archivos de programa\ESET\ESET NOD32 Antivirus\nodlogin.exe
O4 - HKLM..\Run: [a8793902] rundll32.exe "C:\WINDOWS\system32\cljvawvc.dll",b
O4 - HKLM..\Run: [BMab4a0a9e] Rundll32.exe "C:\WINDOWS\system32\ihhusuhq.dll",s
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-1220945662-823518204-839522115-1005..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'MaTT')
O4 - HKUS\S-1-5-21-1220945662-823518204-839522115-1005..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background (User 'MaTT')
O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 Startup: Mozilla Firefox.lnk = C:\Archivos de programa\Mozilla Firefox\firefox.exe (User 'MaTT')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 Startup: StyleXP.exe (User 'MaTT')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 Startup: Winamp.lnk = C:\Archivos de programa\Winamp\winamp.exe (User 'MaTT')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 User Startup: Mozilla Firefox.lnk = C:\Archivos de programa\Mozilla Firefox\firefox.exe (User 'MaTT')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 User Startup: StyleXP.exe (User 'MaTT')
O4 - S-1-5-21-1220945662-823518204-839522115-1005 User Startup: Winamp.lnk = C:\Archivos de programa\Winamp\winamp.exe (User 'MaTT')
O4 - Startup: Mozilla Firefox.lnk = C:\Archivos de programa\Mozilla Firefox\firefox.exe
O4 - Startup: Winamp.lnk = C:\Archivos de programa\Winamp\winamp.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV1\SPYBOT1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV1\SPYBOT1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: khfGWQHb - C:\WINDOWS\SYSTEM32\khfGWQHb.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 9640 bytes

Shalauras

El problema del combofix esque internamente es otro virus xq despliega en tu ordenador registros internos.

TheV1ruSS

la unica que me suena raro aqui, es la entrada O12, relacionada con IExplorer.

CHoTeRo

Yo veo más raras estas:

O4 - HKLM..\Run: [a8793902] rundll32.exe "C:\WINDOWS\system32\cljvawvc.dll",b
O4 - HKLM..\Run: [BMab4a0a9e] Rundll32.exe "C:\WINDOWS\system32\ihhusuhq.dll",s

LzO

Tienes una infección de la ostia, entra en modo a prueba de fallos y dale fix a las siguientes entradas:

O2 - BHO: {bb8efe79-70b6-787a-cbf4-56dcad994c12} - {21c499da-cd65-4fbc-a787-6b0797efe8bb} - C:\WINDOWS\system32\urdxwtnr.dll

O2 - BHO: (no name) - {B43BD31B-0832-4BBE-9865-C7852CDC5E3B} - C:\WINDOWS\system32\rqRjgHWq.dll

O2 - BHO: (no name) - {F86B11F3-0CE1-475F-9541-5329BF7B3597} - C:\WINDOWS\system32\khfGWQHb.dll

O4 - HKLM..\Run: [a8793902] rundll32.exe "C:\WINDOWS\system32\cljvawvc.dll",b

O4 - HKLM..\Run: [BMab4a0a9e] Rundll32.exe "C:\WINDOWS\system32\ihhusuhq.dll",s

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O20 - Winlogon Notify: khfGWQHb - C:\WINDOWS\SYSTEM32\khfGWQHb.dll

Luego lo tipico, reinicia a modo normal y pasa el scan online de kaspersky que aunque no os lo creais es el antivirus mas bueno que hay sobre todo su sistema de heuristica y protección en tiempo real. (aunque sino lo tienes instalado pasa este que es online al menos)

http://www.kaspersky.com/sp/virusscanner

SKoR

Muchisimas gracias a todos, lo tengo en el portatil tmb el virus a ver q tal. El fix te refieres al de hi jack this ?

y el 020 de winlogon no sera malo eliminarlo no ? Solo tnego un pco de miedo a eliminar algo de sistema de arranke o algo raro. Supongo q estareis enterados bien del tema :P

Usuarios habituales

  • SKoR
  • LzO
  • TheV1ruSS
  • Shalauras
  • Shaka
  • HoRTeL
  • basili0