Foro de elhacker.net

Buenas, esto es algo urgente.

tengo un virus de la p**a q me pario en la ***** de pc (Sorry por el vocabulario, pero estoy hasta la polla ^^ ), ya probe todo y nose que onda.

Son unos .tmp que se crean cuando inicio la pc, eso tmp crean UN MONTON DE .EXE , etc etc etccccc, UN MONTON

ya hice de todo, y nada, sigue andando mal. (Ahora va un poco mejor!!!) , esta programado en vb6

Cuando empezo todo esto? Cuando instale el patch 1.3 del COD2. La concha de mi madre

Probe de todo, superantyspyware, mbam, unhackme, hijackthis, y EL COMBOFIX NO FUNCIONA!!!!!!!! TIRA ERROR AL INICIAR! tmpoco me anda la pagina de forospyware. ni otras conocidas de virus



MI TEORIA: Teniendo en cuenta esta imagen...

(http://img823.imageshack.us/img823/7461/dibujojqeu.jpg)


En System inicia : SMSS.EXE

Dentro de SMSS.exe , tenemos : WINLOGON.EXE y CSRSS.EXE

Dentro de winlogon tenemos : Los virus que inician de forma "especial" parece + services.exe + lsass.exe
Apartado de eso, tenemos explorer.EXE , que es donde estan los programas iniciados.

Yo pienso que se cambio algo, que hace que junto con el winlogon.exe , inicie el virus... o hay algo infectado, nose, pero necesito informacion sobre el inicio de windows... (No me digan que pelotudee conn msconfig jaja)

Formatear = Solucion, de eso estoy casi seguro, pero mmm....quiero pelear XD

más informacion

svchost.exe en C:\WINDOWS\Sxc

(http://img69.imageshack.us/img69/7900/dibujoyfz.jpg)

HOLA!!!

Jajajaja yo lo conozco ese virus, viene en un VB6 no me acuerdo cual.

Usa el DR Cure IT o Avast con Analisis al inicio.

Lo mas importante... cuidado con el VB6 XD.

GRACIAS POR LEER!!!

En software tienes los CDs de recuperación para casos de emergencia, usa el de kaspersky y el de avira.

estoy pasando el cure it, la v. mas reciiente q encontre --(estoy en la netbook,escribo re mal aca)

cuando termine veo q ond, es un kgo d risa, todos los .exe infectados jjaajajajajaj

Buenas,


¡Bien dicho!

Me resultan curiosos los siguientes archivos: "mbkfvo8" y "eaodx4".

Haciendo una búsqueda rápida por google, no he encontrado nada tangible sobre el segundo, pero sí algo sobre el primero (http://www.threatexpert.com/report.aspx?md5=e242c4755bfc1135ffcc1b791d66be20).

Deberías echarle un vistazo tranquilamente, puede que te resulte de ayuda.

Si no estoy errado en mis pesquisas, parece que estás infectado por el virus Virut.

Buscando un poco más, he encontrado este hilo (http://www.forospyware.com/t115404-26.html) de otro foro. Hay posts desde el 2007, hasta el 2008. Al parecer, por entonces, sólo aconsejaban el formateo; ya que infectaba todos los archivos ejecutables y pocos antivirus lo controlaban.

Después de esta introducción, prueba con CureIt, tal y como te ha aconsejado 79137913. A ver si tienes suerte. De lo contrario, podrías seguir los siguientes pasos:

(1) Iniciar en modo seguro sin conexiones de red.

Casi seguro que el virus se inicia también en este modo, pero quizá menguado de sus posibilidades a no estar Windows 100% operativo.


(2) Revisa la rama:

Coméntanos qué datos tienes en el valor "UserInit".

Revisa también:


En principio, si está infectada, debe sobrar el valor "Run". Que estará ejecutando "mbkfvo8".

Tampoco iría mal que intentaras colgarnos los dos archivos que te he comentado al inicio, así podríamos "jugar" con ellos y ayudarte con conocimiento de causa.

Si todo esto te resulta mucho lío y engorroso, prueba lo que te comentaba Randomize. Si es el virus que creo, debería estar más que controlado.

Saludos.

podrías subir los virus por favor


Saludos

Solucionado!

Solucion :

1º- Almacenar los archivos del virus (Eran mil con nombres adsakdasja todo asi |:)

2º- Entrar al editor del registro (Modo seguro)

3º- Apretar F3, y buscar UNO POR UNO los nombres de los archivos. + Habia un "SERVICIO" (MouseDriver.BAT) , que ponia la chispa (El codigo de ese bat abria otro exe)

4º- Borrar todos los archivos... (Tmb creaban .txt lleno de numeros y letras...)

5º- Despues de una intensa busqueda, parece que se soluciono :)

Ya comentare que tal... Ahh, Probe mil pelotudeces para borrarlo, el DR web It + Algo de Symantec, + un archivo .com de nose quien XD , nada funciono...

Add: Cuando pase el DR WEB , TODOS los .exe de la pc (3 particiones) estaban infectados con VIRUT.

Add2: Ahora vuelvo a reiniciar (Tengo TODOs los programas desactivados menos el SystemExplorer, para ver desde el inicio, que se ejecuta :)

ja, a ese virus lo saque eliminando la dll de vb6 y asi si lo encontro mi av  :silbar: :silbar:

Podrias dar un poquitin de informacion $:

Alguien conoce esta dll?
C:\WINDOWS\SYSTEM32\INETSRV\PERFETET.DLL

Pon un log del hijackthis, ¡¡¡ sorpréndenos !!!  :D :D :D

Por cierto... ¿estás usando un windows modificado?


Llámalo intuición...

HOLA!!!

Ya me acorde, el virus infecta a todos los ejecutables del disco duro, por eso figuran con "VIRUT" tenes que desinfectarlos :S.

GRACIAS POR LEER!!!

Buenas,


Haciendo una búsqueda rápida por google, no sale nada. (Sospechoso)

El virus, si es el que yo creo, es posible que te haya creado algún "autorun" tanto en las unidades locales como en las extraíbles.

No iría mal que lo revisaras mendiante:

(1) CMD
(2) dir /as

A ver si te lista algún autorun.inf

Ya puestos, para asegurarnos que está limpio, podrías colgar un log de hijackthis (http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi). Si te lo deja ejecutar, casi seguro que el virus está, si no al completo, casi erradicado. En ese caso, lo dicho, podrías colgar el log y lo revisamos.

Saludos!

PD: Tampoco iría mal que deshabilitaras "Restaurar Sistema". Reiniciar y volver a activarlo. De ese modo, si hay alguna muestra del virus, también se borrará.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:05:  | Nico <3, on 05/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Archivos de programa\Steam\steam.exe
C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
C:\Archivos de programa\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Download Manager\IDMan.exe
C:\Archivos de programa\Internet Download Manager\IEMonitor.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\cmd.exe
D:\Para El Disco\Demas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1; ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Memory Cleaner] C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe boot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secure.vbs
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces  - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7A545C7-13DF-4E90-97D7-F29A45616F0A}: NameServer = 200.45.48.233,200.45.191.35
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Archivos de programa\Archivos comunes\Steam\SteamService.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 4658 bytes

Add: El secure.vbs es de 79137913 XDDDDDDDDDDD

Buenas,

Pues sí, parece que está todo limpio.

Aunque me resulta extraña esta entrada:


Sencillamente indica que utilizaste -o utilizas- proxy en IE. Aunque sería ilógico direccionarlo hacia local. Por otro lado, también se observa:



Supongo que estarás usando Firefox. Ya que el IE es un poco antiguo... -Entiendo que te habrá resultado indiferente actualizarlo-.

Es posible que el virus afectara a IE, pero no a Firefox. Es posible que modificaras el valor tú mismo para realizar alguna prueba.

En fin, en cualquier caso: ¡Felicidades! Lo has solventado sin formatear.

Saludos.

jeje  y a mano xD!

Off: la concha de mi madre, me acaban de afanar....