Arwing
General de Generales
 Desconectado
Mensajes: 2,186
|
NOTA IMPORTANTE:
Existe una nueva versión de VenoM, y el método de desinfección es diferente del método descrito más abajo para la versión original de VenoM.
La nueva versión presenta los siguientes síntomas:
--> Al intentar ejecutar archivos de extensión .inf, .ini, .js, .msc, .txt, .vbe y .vbs muestra el siguiente mensaje: "La fuente de voltaje no es suficiente para el correcto funcionamiento , QUÉMATE EN EL INFIERNO UN RATO e inténtalo más tarde." y una pantalla negra que muestra la palabra VenoM formada por ceros.
--> Crea diversas claves en el registro con la frase: "Tú has sido derrotado de nuevo por VenoM"
--> Impide la ejecución de los siguientes ejecutables:
- notepad.exe
- cmd.exe
- ibprocman.exe
- explorer.exe
- integrator.exe.exe
- HijackThis.exe
- wordpad.exe
- rstrui.exe
- msconfig.exe
- regedit.exe
- HiJackthis_v2.exe
--> Deshabilita la Búsqueda de Windows, la ventana de Propiedades de Mi PC, la Papelera de Reciclaje y oculta las Opciones de Carpeta. No permite ver archivos ocultos, del sistema, ni las extensiones de archivos.
--> Se copia a memorias USB.
--> Registra un controlador o driver como "driver lucifer (Satanas Resurrection Of The Hell 'Black Metal')".
--> Genera archivos ejecutables con icono de carpeta de 54 KB de tamaño en la carpeta Mis Documentos y todas las carpetas dentro de ésta. Crea un archivo ejecutable por cada carpeta existente.
Por mencionar los síntomas principales.
En caso de estar infectado con esta nueva versión, por favor lean el siguiente post: http://foro.xarw.net/index.php/topic,2634.0.html
Método de desinfección para la versión original de VenoM:
Últimamente en algunas máquinas que he revisado en mi universidad he encontrado un malware llamado VenoM. Lo considero un gusano pues a pesar de que no he revisado si tiene más métodos de propagación, sí he notado que se copia a memorias flash USB y genera un archivo autoejecutable (un autorun.inf) para que el malware se ejecute al conectar la memoria USB al PC.
No es un malware que presente mucha dificultad para eliminarlo, si bien la desinfección manual puede ser un poco laboriosa, sólo basta con seguir los pasos que aquí describo.
Entre los síntomas que pude observar se encuentran:
- La aparición de uno o varios mensajes en el Bloc de Notas diciendo: "El juego ha terminado. Tu has sido derrotado por VenoM", seguido por la palabra VenoM dibujada ccon ceros.
- Deshabilita el editor del registro.
- Deshabilita el administrador de procesos.
- Oculta la opción "Opciones de Carpeta" del menú Herramientas (o en el menú Ver según la versión de Windows) del Explorador de Windows.
- Oculta los archivos ocultos y las extensiones de archivos.
- Oculta la carpeta del sistema (Windows) y crea un archivo ejecutable con ícono de carpeta de nombre Windows en la unidad del sistema.
- En algunas carpetas crea un archivo autorun.inf para que al entrar a dicha carpeta, se ejecute el virus.
- Crea varias entradas en el registro de Windows.
- Crea varios archivos ejecutables en diferentes ubicaciones del sistema. Se caracterizan por ser ejecutables con íconos de carpeta, generalmente con nombres de carpetas existentes. Poseen un tamaño alrededor de 180 a 185 KB.
No estoy seguro al 100% de qué archivos son los que realmente pertenecen a este malware, pues entre las máquinas que he revisado he encontrado señales de otras infecciones. Pero aquí dejo una guía de cómo eliminar los principales archivos de VenoM y evitar que siga corriendo en el sistema.
La única herramienta que necesitaremos será HijackThis 1.99.1 o superior.
Ejecuta HijackThis y realiza un escaneo del sistema. A continuación presiona el botón Config..., luego Misc Tools y por último selecciona Open process manager. Aparecerán todos los procesos que corren en tu sistema.
En específico, tienes que terminar los siguientes procesos (en este caso específico la letra de la unidad es C:\, es posible que no todos los procesos aparezcan):
C:\WINDOWS\System\winlogon.exe <-- Ojo, está ubicado en la carpeta System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\VenoM.666\explorer.exe
C:\WINDOWS\system32\cmd.exe <-- Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe
Para terminar un proceso lo único que debes hacer es seleccionar el proceso y presionar el botón Kill process. Para eliminar varios procesos a la vez, mantén presionada la tecla Shift mientras seleccionas cada proceso.
Una vez terminados los procesos anteriores, presiona el botón Back en HijackThis. Regresarás al escaneo que realizaste anteriormente. Ahora marca las casillas de las siguientes entradas:
O4 - HKLM\..\Run: [CFTMON.EXE] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [CFTMON.EXE] C:\Documents and Settings\usuario\Datos de programa\smss.exe
O4 - Startup: MS-DOS.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Una vez seleccionadas dichas casillas, presiona el botón Fix checked. Realiza otro escaneo para asegurarte que las entradas ya no aparecen. Una vez eliminadas estas entradas puedes cerrar HijackThis.
Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe "regedit" (sin las comillas por supuesto) y presiona Aceptar.
Una vez adentro expande la carpeta (o clave) correspondiente a HKEY_CURRENT_USER. Podrás notar de inmediato que exiten unas claves que dicen VenoM y un número aleatorio. Elimina todas las claves dando click derecho sobre la clave y seleccionando Eliminar. Es posible que veas aquí muchas entradas relativas al VenoM, así que una forma más rápida de eliminarlas es usando sólo el teclado. Selecciona la clave de hasta arriba y todo es cuestión de presionar la tecla Suprimir (Supr) y luego Enter sucesivamente.
Una vez eliminadas todas esas claves, expande las claves siguiendo la siguiente secuencia: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
Debajo de Policies hay dos claves: Explorer y System. Entra a System y elimina los valores llamados DisableTaskManager y DisableCMD, dando click derecho sobre el valor y seleccionando eliminar. Ahora dirígete a la clave Explorer, donde sólo queda eliminar el valor NoFolderOptions.
Cierra el Editor del registro y ahora abre el Explorador de Windows. Puedes abrirlo dirigiendote a Inicio >> Programas >> Accesorios >> Explorador de Windows o presionando la tecla Windows y la tecla E al mismo tiempo (Windows+E). Aquí el Explorador de Windows es importante, porque tenemos que explorar las carpetas desde la estructura de árbol de la izquierda para no ejecutar los archivos autorun.inf que se encuentran en algunas carpetas, como en C:\ por ejemplo. Navega por las carpetas de esta forma por lo menos hasta haber quitado la infección.
Primero intenta mostrar los archivos ocultos de nuevo. En Windows XP la opción estará en el menú Herramientas >> Opciones de Carpeta. En versiones anteriores de Windows la opción estará en el menú Ver. Si la opción no aparece tendrás que reiniciar el sistema. No debería haber problema de reinfección pues hemos eliminado todas las entradas de arranque del malware. Si la opción Opciones de Carpeta aparece, entonces selecciónala, dirígete a la pestaña Ver y selecciona la opción "Mostrar todos los archivos y carpetas ocultos". También desmarca las casillas "Ocultar archivos protegidos del sistema operativo" y "Ocultar las extensiones de archivo para tipos de archivo conocidos". Presiona el botón Aceptar.
En el Explorador de Windows dirígete a la unidad del sistema (generalmente es C:\). Una vez ahí elimina la carpeta oculta VenoM.666 y los archivos crsvc.exe y autorun.inf. También elimina el archivo Windows.exe, asegúrate de que sea el ejecutable porque de otro modo estarías intentando borrar la carpeta del sistema (que puede aparecer como oculta, cambia sus propiedades seleccionando la carpeta con un click derecho >> Propiedades, y desmarca la casilla Oculto). También es probable que tengas un archivo ejecutable cuyo nombre sea el nombre de tu usuario y el texto "100%". Por ejemplo: "usuario 100%.exe" o "100% usuario.exe"
Sigue utilizando el Explorador de Windows para borrar los siguientes archivos. Antes de eliminar estos archivos, anota la fecha de creación y modificación (puedes verlas en el recuadro o tooltip que aparece al colocar el cursor encima del archivo o seleccionando la opción Propiedades al dar click derecho sobre el archivo) , las vas a necesitar después para buscar más archivos sospechosos.
C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <-- Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
Abre el buscador de archivos (Tecla Windows + F o en Inicio >> Buscar) y en la opción Buscar todos los archivos y carpetas, escribe autorun.inf y realiza la búsqueda. Es posible que encuentres varios autorun.inf si tienes guardadas en el disco duro imágenes de CD's o DVD's. En ese caso ignóralas. Pero si ves archivos autorun.inf en otra ubicación revísalos (para revisar un autorun.inf basta con dar click derecho, seleccionar Abrir con.. y selecciona el Bloc de Notas para abrirlo) y si hacen referencia a algún archivo de los que acabas de borrar, o hace referencia a VenoM, entonces elimínalos.
Ahora realiza una búsqueda de todos los archivos ejecutables con iconos de carpeta que estarán regados entre tus archivos para eliminarlos. Podrías infectarte de nuevo si accidentalmente ejecutas uno de estos archivos.
La forma más fácil de buscarlos es escribir en el campo de búsqueda *.exe y usar las opciones "¿Cuándo fue modificado?" y "¿Qué tamaño tiene?" que ofrece el buscador de archivos de Windows. Establece la fecha que te pedí que anotarás previamente (intenta la búsqueda con fecha de creación y fecha de modificación). El tamaño de los archivos no pasa de 185 KB, pero para asegurarte establece un tamaño máximo de 190 KB.
Ahora sólo quedaría buscar por el archivo del dichoso mensaje del VenoM, el venom.txt. Utiliza el buscador para ubicarlo rápidamente. Generalmente se encuentra en las carpetas de los usuarios.
Puede que hayan quedado algunos pocos archivos esparcidos por el sistema de los que no estoy enterado. Sin embargo, si realizaste todo lo que indiqué aquí, el malware VenoM ya no debería ser molestia, pues ya eliminaste sus archivos principales y sus entradas de arranque.
Si tienes alguna pregunta o comentario, puedes colocarlo en un tema nuevo.
Saludos
Arwing
|
|
|
|
« Última modificación: 15 de Agosto, 2008, 01:33:38 por Arwing »
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:08, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Archivos de programa\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Copperhead] "C:\Archivos de programa\CopperheadAntiSpyware\CopperScheduler.exe "
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperSe rvice) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
y mira el dibujo porfa
http://img139.imageshack.us/my.php?image=dibujozk0 .gif
ya hice todo lo que tu dijiste!
|
|
|
|
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
al parecer ya lo logre, despues de un dia completo, ya estuvo!!! que bien
|
|
|
|
|
En línea
|
|
|
|
Arwing
General de Generales
Desconectado
Mensajes: 2,186
|
Qué bien, porque ya estaba a punto de decirte que tu log parecía limpio. ¿Qué te había faltado por hacer? ¿Y una duda que no tiene mucha relación, de dónde eres?
Arwing
|
|
|
|
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
ya !!!! formatear!
|
|
|
|
« Última modificación: 30 de Octubre, 2007, 14:37:11 por righost »
|
En línea
|
|
|
|
princessadelaluna
Forastero
Desconectado
Mensajes: 1
|
hola!
oye, tengo una duda enorme... porque despues de que hice toooodo lo que dices que haga (varias veces ¬¬) me sigen saliendo las 164 ventanitas de VenoM de repente ?!?!...
tuve que formatear mi iPod (desde el modo a prueba de fallos)... y ya estaba recuperando la música que le quite (según con la compu limpia) y de repente me botaron las ventanas
pero reviso el sistema y no me aparecen las carpetas donde se aloja, tampoco estan deshablitadas las opciones de carpeta (aunque me niega el acceso directamente a C, tengo que irme a explorador) y el task entra de manera normal! :S...
me puedes decir que "$·%$ hice mal?!?! :S... no quiero andar esparciendo virus (y mucho menos traerlo en mi iPod despues de haberlo formateado ¬¬)
por cierto, te agradezco mucho la ayuda.
|
|
|
|
|
En línea
|
|
|
|
Arwing
General de Generales
Desconectado
Mensajes: 2,186
|
No eliminas completamente la infección del VenoM (o en el peor de los casos ha salido una versión nueva del gusano  ). ¿Te has asegurado de buscar todos los archivos ejecutables que crea dentro de tus documentos? Crea muchos archivos ejecutables que parecen carpetas, ten mucho cuidado, ya que accidentalmente podrías haber ejecutado uno de estos archivos y te volviste a infectar.
El que no puedas entrar directamente a C: podría indicar que sigue un archivo autorun.inf ahí. Si hasta estos momentos no presentas los demás síntomas de la infección, quizá sólo reste eliminar algún ejecutable que sea el responsable de mostrar el archivo txt que tiene el mensaje.
Genera un log con HijackThis y pégalo aquí para revisarlo.
Saludos
Arwing
|
|
|
|
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
descarga la utilidad de mi pagina.... eso te servira
|
|
|
|
|
En línea
|
|
|
|
oasandel
Talleres - Taller de HijackThis
Desconectado
Mensajes: 4
|
Hola
Antes que nada quiero agradecerte mucho el hecho que compartas este tipo de informacion que es por demas interesante y util, fijste que soy el encargado de laboratorios de un cecyte en tepic, y ya me traia lazaro este malware ya que las vacunas que tengo el el area administrativa no lo detectan ni lo limpian, las pc de los laboratorios no tengo tanta bronca pues las tengo congelasdas con el deep freeze y no hay problema.
Gracias a ti he podido retirar el dichoso malware, pero fijate que tengo el problemita que te comenta la compañera anterior despues de seguir todo lo que indicas en varias ocasiones, me sigue apareciendo la dichosa ventanita del block de notas ya sabes el mensajito del venom, y la verdad no he podido localizar donde o cual sera el archivo que se esta ejecutando repetidamente pues son muchos los mensajes que me manda
Mucho te agradeceria si me ayudaras con esta situacion pues ya me ha hecho batallar bastante, de antemano te envio de nuevo las gracias y les envio mis mejores deseos.
Oasandel
|
|
|
|
« Última modificación: 26 de Noviembre, 2007, 23:58:29 por NekroByte »
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
he estado checando, y parece que el malwareevoluciona!! jijii
8y creo que uya esta la nueva version venom 2.0)
entoncses, otra vez todo, pero ahora elimina manualmente o con el killbox las carpetas dentro
C:\VenoM.666 (eliminar si todavua existe)
C:\WINDOWS\winlogon.exe (eliminar si todavia existe)
C:\crsvc.exe
C:\WINDOWS\System\winlogon.exe <– Ojo, está en System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\WINDOWS\system32\cmd.exe <– Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe (en cada uno de los usuarios que existan)
(aplica para C, D, E, F, y las particiones que tengas)
C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <– Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <– Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <– Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
(esto tendria que ser suficiente)
haa ay yo soy de aqui de tepic tambien!!! estudio en la uan!! por si se te ofrece algo!!
www.righost.2ya.com
Nota: Me tomé la libertad de modificar tu post por tu propia seguridad. No creo que te guste que gente con no muy buenas intenciones posea tu cuenta de correo tan fácilmente, e incluso tu número de celular. Si gustas hacer llegar dicha información a Arwing te recomiendo que se la envíes a través de un mensaje privado desde el panel de control de tu cuenta de usuario en el foro.
Silent's Heroe
|
|
|
|
« Última modificación: 14 de Noviembre, 2007, 18:20:09 por Silent's Heroe »
|
En línea
|
|
|
|
righost
Forastero
Desconectado
Mensajes: 9
|
me puedes leer este log... no le veo nada extraño
Logfile of HijackThis v1.99.1
Scan saved at 02:03:16 p.m., on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrador\Escritorio\seguridad vneom\RegSeeker\RegSeeker.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Oscar López\Escritorio\hijackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [DeskSpace] C:\Archivos de programa\DeskSpace\deskspace.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182481976453
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
gracias 
|
|
|
|
|
En línea
|
|
|
|
|
|
|
|
|
|
reisach
Forastero
Desconectado
Mensajes: 1
|
Hola, soy nuevo aqui, pero este virus me trae vuelto loco.
Me baje el HiJackThis de la computadora del trabajo, pero al momento de poner la memoria USB en mi maquina para instalarlo, el archivo desaparecio O_o!!
No lo encuentro en la memoria y no pude instalarlo para seguir los pasos que me das.
De antemano muchas gracias por la ayuda!
Saludos!
|
|
|
|
|
En línea
|
|
|
|
.:: Xarw.Net ::.
Autor
Lo acepto. No la vi. 
. Jaja.