Tema destacado: ¡Aprende hacking con práctica! -  arZone, el wargame de elhacker.net
 Autor
|
Tema: Necesito informacion sobre el inicio [URGENTE] (Leído 2,372 veces)
|
CAR3S?
 Desconectado
Mensajes: 331
Level xXx
|
Buenas, esto es algo urgente. tengo un virus de la p**a q me pario en la ***** de pc (Sorry por el vocabulario, pero estoy hasta la polla ^^ ), ya probe todo y nose que onda. Son unos .tmp que se crean cuando inicio la pc, eso tmp crean UN MONTON DE .EXE , etc etc etccccc, UN MONTON ya hice de todo, y nada, sigue andando mal. (Ahora va un poco mejor!!!) , esta programado en vb6 Cuando empezo todo esto? Cuando instale el patch 1.3 del COD2. La concha de mi madre Probe de todo, superantyspyware, mbam, unhackme, hijackthis, y EL COMBOFIX NO FUNCIONA!!!!!!!! TIRA ERROR AL INICIAR! tmpoco me anda la pagina de forospyware. ni otras conocidas de virus MI TEORIA: Teniendo en cuenta esta imagen...  En System inicia : SMSS.EXE Dentro de SMSS.exe , tenemos : WINLOGON.EXE y CSRSS.EXE Dentro de winlogon tenemos : Los virus que inician de forma "especial" parece + services.exe + lsass.exe Apartado de eso, tenemos explorer.EXE , que es donde estan los programas iniciados. Yo pienso que se cambio algo, que hace que junto con el winlogon.exe , inicie el virus... o hay algo infectado, nose, pero necesito informacion sobre el inicio de windows... (No me digan que pelotudee conn msconfig jaja) Formatear = Solucion, de eso estoy casi seguro, pero mmm....quiero pelear XD
|
|
|
|
|
En línea
|
|
|
|
CAR3S?
Desconectado
Mensajes: 331
Level xXx
|
más informacion svchost.exe en C:\WINDOWS\Sxc 
|
|
|
|
|
En línea
|
|
|
|
79137913
Desconectado
Mensajes: 780
4 Esquinas
|
HOLA!!!
Jajajaja yo lo conozco ese virus, viene en un VB6 no me acuerdo cual.
Usa el DR Cure IT o Avast con Analisis al inicio.
Lo mas importante... cuidado con el VB6 XD.
GRACIAS POR LEER!!!
|
|
|
|
|
En línea
|
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!" "La peor de las ignorancias es no saber corregirlas" 79137913 *Shadow Scouts Team* Resumenes Cs.Economicas |
|
|
|
Randomize
|
En software tienes los CDs de recuperación para casos de emergencia, usa el de kaspersky y el de avira.
|
|
|
|
|
En línea
|
|
|
|
CAR3S?
Desconectado
Mensajes: 331
Level xXx
|
estoy pasando el cure it, la v. mas reciiente q encontre --(estoy en la netbook,escribo re mal aca)
cuando termine veo q ond, es un kgo d risa, todos los .exe infectados jjaajajajajaj
|
|
|
|
|
En línea
|
|
|
|
Arcano.
Desconectado
Mensajes: 468
|
Buenas, Formatear = Solucion, de eso estoy casi seguro, pero mmm....quiero pelea ¡Bien dicho! Me resultan curiosos los siguientes archivos: " mbkfvo8" y " eaodx4". Haciendo una búsqueda rápida por google, no he encontrado nada tangible sobre el segundo, pero sí algo sobre el primero. Deberías echarle un vistazo tranquilamente, puede que te resulte de ayuda. Si no estoy errado en mis pesquisas, parece que estás infectado por el virus Virut. Buscando un poco más, he encontrado este hilo de otro foro. Hay posts desde el 2007, hasta el 2008. Al parecer, por entonces, sólo aconsejaban el formateo; ya que infectaba todos los archivos ejecutables y pocos antivirus lo controlaban. Después de esta introducción, prueba con CureIt, tal y como te ha aconsejado 79137913. A ver si tienes suerte. De lo contrario, podrías seguir los siguientes pasos: (1) Iniciar en modo seguro sin conexiones de red. Casi seguro que el virus se inicia también en este modo, pero quizá menguado de sus posibilidades a no estar Windows 100% operativo. necesito informacion sobre el inicio de windows... (2) Revisa la rama: HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon. Coméntanos qué datos tienes en el valor "UserInit".Revisa también: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] En principio, si está infectada, debe sobrar el valor "Run". Que estará ejecutando "mbkfvo8". Tampoco iría mal que intentaras colgarnos los dos archivos que te he comentado al inicio, así podríamos "jugar" con ellos y ayudarte con conocimiento de causa. Si todo esto te resulta mucho lío y engorroso, prueba lo que te comentaba Randomize. Si es el virus que creo, debería estar más que controlado. Saludos. |
|
|
|
|
En línea
|
La curiosidad es la antesala al conocimiento...
|
|
|
.:UND3R:.
Desconectado
Mensajes: 1.960
Ingeniería inversa
|
podrías subir los virus por favor
Saludos
|
|
|
|
|
En línea
|
|
|
|
CAR3S?
Desconectado
Mensajes: 331
Level xXx
|
Solucionado! Solucion : 1º- Almacenar los archivos del virus (Eran mil con nombres adsakdasja todo asi |:) 2º- Entrar al editor del registro (Modo seguro) 3º- Apretar F3, y buscar UNO POR UNO los nombres de los archivos. + Habia un "SERVICIO" (MouseDriver.BAT) , que ponia la chispa (El codigo de ese bat abria otro exe) 4º- Borrar todos los archivos... (Tmb creaban .txt lleno de numeros y letras...) 5º- Despues de una intensa busqueda, parece que se soluciono  Ya comentare que tal... Ahh, Probe mil pelotudeces para borrarlo, el DR web It + Algo de Symantec, + un archivo .com de nose quien XD , nada funciono... Add: Cuando pase el DR WEB , TODOS los .exe de la pc (3 particiones) estaban infectados con VIRUT. Add2: Ahora vuelvo a reiniciar (Tengo TODOs los programas desactivados menos el SystemExplorer, para ver desde el inicio, que se ejecuta |
|
|
|
|
En línea
|
|
|
|
|
|
CAR3S?
Desconectado
Mensajes: 331
Level xXx
|
Podrias dar un poquitin de informacion $:
Alguien conoce esta dll?
C:\WINDOWS\SYSTEM32\INETSRV\PERFETET.DLL
|
|
|
|
|
En línea
|
|
|
|
|
|
|
Randomize
|
Por cierto... ¿estás usando un windows modificado?
Llámalo intuición...
|
|
|
|
|
En línea
|
|
|
|
79137913
Desconectado
Mensajes: 780
4 Esquinas
|
HOLA!!!
Ya me acorde, el virus infecta a todos los ejecutables del disco duro, por eso figuran con "VIRUT" tenes que desinfectarlos :S.
GRACIAS POR LEER!!!
|
|
|
|
|
En línea
|
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!" "La peor de las ignorancias es no saber corregirlas" 79137913 *Shadow Scouts Team* Resumenes Cs.Economicas |
|
|
Arcano.
Desconectado
Mensajes: 468
|
Buenas, C:\WINDOWS\SYSTEM32\INETSRV\PERFETET.DLL Haciendo una búsqueda rápida por google, no sale nada. (Sospechoso) El virus, si es el que yo creo, es posible que te haya creado algún "autorun" tanto en las unidades locales como en las extraíbles. No iría mal que lo revisaras mendiante: (1) CMD (2) dir /as A ver si te lista algún autorun.inf Ya puestos, para asegurarnos que está limpio, podrías colgar un log de hijackthis. Si te lo deja ejecutar, casi seguro que el virus está, si no al completo, casi erradicado. En ese caso, lo dicho, podrías colgar el log y lo revisamos. Saludos! PD: Tampoco iría mal que deshabilitaras "Restaurar Sistema". Reiniciar y volver a activarlo. De ese modo, si hay alguna muestra del virus, también se borrará. |
|
|
|
|
En línea
|
La curiosidad es la antesala al conocimiento...
|
|
|
CAR3S?
Desconectado
Mensajes: 331
Level xXx
|
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:05: | Nico <3, on 05/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Archivos de programa\Steam\steam.exe
C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
C:\Archivos de programa\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Download Manager\IDMan.exe
C:\Archivos de programa\Internet Download Manager\IEMonitor.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\cmd.exe
D:\Para El Disco\Demas\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1; ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Memory Cleaner] C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe boot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secure.vbs
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7A545C7-13DF-4E90-97D7-F29A45616F0A}: NameServer = 200.45.48.233,200.45.191.35
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Archivos de programa\Archivos comunes\Steam\SteamService.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 4658 bytes
Add: El secure.vbs es de 79137913 XDDDDDDDDDDD
|
|
|
|
« Última modificación: 5 Octubre 2011, 18:12 por nukje »
|
En línea
|
|
|
|
|
 |
