Como decía mi abuelito, en manos de estúpidos, ni la pólvora arde.
Anónimo
USUARIO & PREFERENCIAS

18 de Enero, 2018, 05:01:20

Noticias: Por favor, utiliza un avatar de dimensiones razonables. El Foro puede tratar los avatares demasiado grandes, pero lucen anti-estéticos y no se logran apreciar.


FORO
+  .:: Xarw.Net ::.
|-+  Foros
| |-+  Seguridad
| | |-+  Método de desinfección para el virus VenoM
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] 2 Ir Abajo Imprimir
Autor Tema: Método de desinfección para el virus VenoM  (Leído 64932 veces)
Arwing
General de Generales
*****
Desconectado Desconectado

Mensajes: 2,191



WWW
Método de desinfección para el virus VenoM
« en: 25 de Octubre, 2007, 12:08:36 »

NOTA IMPORTANTE:

Existe una nueva versión de VenoM, y el método de desinfección es diferente del método descrito más abajo para la versión original de VenoM.

La nueva versión presenta los siguientes síntomas:

--> Al intentar ejecutar archivos de extensión .inf, .ini, .js, .msc, .txt, .vbe y .vbs muestra el siguiente mensaje: "La fuente de voltaje no es suficiente para el correcto funcionamiento , QUÉMATE EN EL INFIERNO UN RATO e inténtalo más tarde." y una pantalla negra que muestra la palabra VenoM formada por ceros.

--> Crea diversas claves en el registro con la frase: "Tú has sido derrotado de nuevo por VenoM"

--> Impide la ejecución de los siguientes ejecutables:

  • notepad.exe
  • cmd.exe
  • ibprocman.exe
  • explorer.exe
  • integrator.exe.exe
  • HijackThis.exe
  • wordpad.exe
  • rstrui.exe
  • msconfig.exe
  • regedit.exe
  • HiJackthis_v2.exe

--> Deshabilita la Búsqueda de Windows, la ventana de Propiedades de Mi PC, la Papelera de Reciclaje y oculta las Opciones de Carpeta. No permite ver archivos ocultos, del sistema, ni las extensiones de archivos.

--> Se copia a memorias USB.

--> Registra un controlador o driver como "driver lucifer (Satanas Resurrection Of The Hell 'Black Metal')".

--> Genera archivos ejecutables con icono de carpeta de 54 KB de tamaño en la carpeta Mis Documentos y todas las carpetas dentro de ésta. Crea un archivo ejecutable por cada carpeta existente.


Por mencionar los síntomas principales.

En caso de estar infectado con esta nueva versión, por favor lean el siguiente post: http://foro.xarw.net/index.php/topic,2634.0.html




Método de desinfección para la versión original de VenoM:

Últimamente en algunas máquinas que he revisado en mi universidad he encontrado un malware llamado VenoM. Lo considero un gusano pues a pesar de que no he revisado si tiene más métodos de propagación, sí he notado que se copia a memorias flash USB y genera un archivo autoejecutable (un autorun.inf) para que el malware se ejecute al conectar la memoria USB al PC.

No es un malware que presente mucha dificultad para eliminarlo, si bien la desinfección manual puede ser un poco laboriosa, sólo basta con seguir los pasos que aquí describo.

Entre los síntomas que pude observar se encuentran:

  • La aparición de uno o varios mensajes en el Bloc de Notas diciendo: "El juego ha terminado. Tu has sido derrotado por VenoM", seguido por la palabra VenoM dibujada ccon ceros.
  • Deshabilita el editor del registro.
  • Deshabilita el administrador de procesos.
  • Oculta la opción "Opciones de Carpeta" del menú Herramientas (o en el menú Ver según la versión de Windows) del Explorador de Windows.
  • Oculta los archivos ocultos y las extensiones de archivos.
  • Oculta la carpeta del sistema (Windows) y crea un archivo ejecutable con ícono de carpeta de nombre Windows en la unidad del sistema.
  • En algunas carpetas crea un archivo autorun.inf para que al entrar a dicha carpeta, se ejecute el virus.
  • Crea varias entradas en el registro de Windows.
  • Crea varios archivos ejecutables en diferentes ubicaciones del sistema. Se caracterizan por ser ejecutables con íconos de carpeta, generalmente con nombres de carpetas existentes. Poseen un tamaño alrededor de 180 a 185 KB.

No estoy seguro al 100% de qué archivos son los que realmente pertenecen a este malware, pues entre las máquinas que he revisado he encontrado señales de otras infecciones. Pero aquí dejo una guía de cómo eliminar los principales archivos de VenoM y evitar que siga corriendo en el sistema.

La única herramienta que necesitaremos será HijackThis 1.99.1 o superior.

Ejecuta HijackThis y realiza un escaneo del sistema. A continuación presiona el botón Config..., luego Misc Tools y por último selecciona Open process manager. Aparecerán todos los procesos que corren en tu sistema.

En específico, tienes que terminar los siguientes procesos (en este caso específico la letra de la unidad es C:\, es posible que no todos los procesos aparezcan):

C:\WINDOWS\System\winlogon.exe <-- Ojo, está ubicado en la carpeta System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\VenoM.666\explorer.exe
C:\WINDOWS\system32\cmd.exe <-- Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe

Para terminar un proceso lo único que debes hacer es seleccionar el proceso y presionar el botón Kill process. Para eliminar varios procesos a la vez, mantén presionada la tecla Shift mientras seleccionas cada proceso.

Una vez terminados los procesos anteriores, presiona el botón Back en HijackThis. Regresarás al escaneo que realizaste anteriormente. Ahora marca las casillas de las siguientes entradas:

O4 - HKLM\..\Run: [CFTMON.EXE] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [CFTMON.EXE] C:\Documents and Settings\usuario\Datos de programa\smss.exe
O4 - Startup: MS-DOS.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Una vez seleccionadas dichas casillas, presiona el botón Fix checked. Realiza otro escaneo para asegurarte que las entradas ya no aparecen. Una vez eliminadas estas entradas puedes cerrar HijackThis.

Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe "regedit" (sin las comillas por supuesto) y presiona Aceptar.

Una vez adentro expande la carpeta (o clave) correspondiente a HKEY_CURRENT_USER. Podrás notar de inmediato que exiten unas claves que dicen VenoM y un número aleatorio. Elimina todas las claves dando click derecho sobre la clave y seleccionando Eliminar. Es posible que veas aquí muchas entradas relativas al VenoM, así que una forma más rápida de eliminarlas es usando sólo el teclado. Selecciona la clave de hasta arriba y todo es cuestión de presionar la tecla Suprimir (Supr) y luego Enter sucesivamente.

Una vez eliminadas todas esas claves, expande las claves siguiendo la siguiente secuencia: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
Debajo de Policies hay dos claves: Explorer y System. Entra a System y elimina los valores llamados DisableTaskManager y DisableCMD, dando click derecho sobre el valor y seleccionando eliminar. Ahora dirígete a la clave Explorer, donde sólo queda eliminar el valor NoFolderOptions.

Cierra el Editor del registro y ahora abre el Explorador de Windows. Puedes abrirlo dirigiendote a Inicio >> Programas >> Accesorios >> Explorador de Windows o presionando la tecla Windows y la tecla E al mismo tiempo (Windows+E). Aquí el Explorador de Windows es importante, porque tenemos que explorar las carpetas desde la estructura de árbol de la izquierda para no ejecutar los archivos autorun.inf que se encuentran en algunas carpetas, como en C:\ por ejemplo. Navega por las carpetas de esta forma por lo menos hasta haber quitado la infección.

Primero intenta mostrar los archivos ocultos de nuevo. En Windows XP la opción estará en el menú Herramientas >> Opciones de Carpeta. En versiones anteriores de Windows la opción estará en el menú Ver. Si la opción no aparece tendrás que reiniciar el sistema. No debería haber problema de reinfección pues hemos eliminado todas las entradas de arranque del malware. Si la opción Opciones de Carpeta aparece, entonces selecciónala, dirígete a la pestaña Ver y selecciona la opción "Mostrar todos los archivos y carpetas ocultos". También desmarca las casillas "Ocultar archivos protegidos del sistema operativo" y "Ocultar las extensiones de archivo para tipos de archivo conocidos". Presiona el botón Aceptar.

En el Explorador de Windows dirígete a la unidad del sistema (generalmente es C:\). Una vez ahí elimina la carpeta oculta VenoM.666 y los archivos crsvc.exe y autorun.inf. También elimina el archivo Windows.exe, asegúrate de que sea el ejecutable porque de otro modo estarías intentando borrar la carpeta del sistema (que puede aparecer como oculta, cambia sus propiedades seleccionando la carpeta con un click derecho >> Propiedades, y desmarca la casilla Oculto). También es probable que tengas un archivo ejecutable cuyo nombre sea el nombre de tu usuario y el texto "100%". Por ejemplo: "usuario 100%.exe" o "100% usuario.exe"

Sigue utilizando el Explorador de Windows para borrar los siguientes archivos. Antes de eliminar estos archivos, anota la fecha de creación y modificación (puedes verlas en el recuadro o tooltip que aparece al colocar el cursor encima del archivo o seleccionando la opción Propiedades al dar click derecho sobre el archivo) , las vas a necesitar después para buscar más archivos sospechosos.

C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <-- Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif

Abre el buscador de archivos (Tecla Windows + F o en Inicio >> Buscar) y en la opción Buscar todos los archivos y carpetas, escribe autorun.inf y realiza la búsqueda. Es posible que encuentres varios autorun.inf si tienes guardadas en el disco duro imágenes de CD's o DVD's. En ese caso ignóralas. Pero si ves archivos autorun.inf en otra ubicación revísalos (para revisar un autorun.inf basta con dar click derecho, seleccionar Abrir con.. y selecciona el Bloc de Notas para abrirlo) y si hacen referencia a algún archivo de los que acabas de borrar, o hace referencia a VenoM, entonces elimínalos.

Ahora realiza una búsqueda de todos los archivos ejecutables con iconos de carpeta que estarán regados entre tus archivos para eliminarlos. Podrías infectarte de nuevo si accidentalmente ejecutas uno de estos archivos.

La forma más fácil de buscarlos es escribir en el campo de búsqueda *.exe y usar las opciones "¿Cuándo fue modificado?" y "¿Qué tamaño tiene?" que ofrece el buscador de archivos de Windows. Establece la fecha que te pedí que anotarás previamente (intenta la búsqueda con fecha de creación y fecha de modificación). El tamaño de los archivos no pasa de 185 KB, pero para asegurarte establece un tamaño máximo de 190 KB.

Ahora sólo quedaría buscar por el archivo del dichoso mensaje del VenoM, el venom.txt. Utiliza el buscador para ubicarlo rápidamente. Generalmente se encuentra en las carpetas de los usuarios.

Puede que hayan quedado algunos pocos archivos esparcidos por el sistema de los que no estoy enterado. Sin embargo, si realizaste todo lo que indiqué aquí, el malware VenoM ya no debería ser molestia, pues ya eliminaste sus archivos principales y sus entradas de arranque.

Si tienes alguna pregunta o comentario, puedes colocarlo en un tema nuevo.

Saludos
Arwing
« Última modificación: 15 de Agosto, 2008, 01:33:38 por Arwing » En línea

righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #1 en: 27 de Octubre, 2007, 17:45:22 »

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:08, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Archivos de programa\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Copperhead] "C:\Archivos de programa\CopperheadAntiSpyware\CopperScheduler.exe "
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperSe rvice) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

y mira el dibujo porfa
http://img139.imageshack.us/my.php?image=dibujozk0 .gif

ya hice todo lo que tu dijiste!
En línea
righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #2 en: 27 de Octubre, 2007, 18:11:45 »

al parecer ya lo logre, despues de un dia completo, ya estuvo!!! que bien
En línea
Arwing
General de Generales
*****
Desconectado Desconectado

Mensajes: 2,191



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #3 en: 27 de Octubre, 2007, 18:23:51 »

Qué bien, porque ya estaba a punto de decirte que tu log parecía limpio. ¿Qué te había faltado por hacer? ¿Y una duda que no tiene mucha relación, de dónde eres?

Arwing
En línea

righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #4 en: 29 de Octubre, 2007, 12:22:08 »

ya !!!! formatear!
« Última modificación: 30 de Octubre, 2007, 14:37:11 por righost » En línea
princessadelaluna
Forastero
*
Desconectado Desconectado

Mensajes: 1



Re: Método de desinfección para el virus VenoM
« Respuesta #5 en: 05 de Noviembre, 2007, 02:22:43 »

hola!

oye, tengo una duda enorme... porque despues de que hice toooodo lo que dices que haga (varias veces ¬¬) me sigen saliendo las 164 ventanitas de VenoM de repente ?!?!...
tuve que formatear mi iPod (desde el modo a prueba de fallos)... y ya estaba recuperando la música que le quite (según con la compu limpia) y de repente me botaron las ventanas
pero reviso el sistema y no me aparecen las carpetas donde se aloja, tampoco estan deshablitadas las opciones de carpeta (aunque me niega el acceso directamente a C, tengo que irme a explorador) y el task entra de manera normal! :S...

me puedes decir que "$·%$ hice mal?!?! :S... no quiero andar esparciendo virus (y mucho menos traerlo en mi iPod despues de haberlo formateado ¬¬)

por cierto, te agradezco mucho la ayuda.
En línea
Arwing
General de Generales
*****
Desconectado Desconectado

Mensajes: 2,191



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #6 en: 06 de Noviembre, 2007, 01:55:37 »

No eliminas completamente la infección del VenoM (o en el peor de los casos ha salido una versión nueva del gusano Huh). ¿Te has asegurado de buscar todos los archivos ejecutables que crea dentro de tus documentos? Crea muchos archivos ejecutables que parecen carpetas, ten mucho cuidado, ya que accidentalmente podrías haber ejecutado uno de estos archivos y te volviste a infectar.

El que no puedas entrar directamente a C: podría indicar que sigue un archivo autorun.inf ahí. Si hasta estos momentos no presentas los demás síntomas de la infección, quizá sólo reste eliminar algún ejecutable que sea el responsable de mostrar el archivo txt que tiene el mensaje.

Genera un log con HijackThis y pégalo aquí para revisarlo.

Saludos
Arwing
En línea

righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #7 en: 14 de Noviembre, 2007, 14:01:39 »

descarga la utilidad de mi pagina.... eso te servira
En línea
oasandel
Talleres - Taller de HijackThis
***
Desconectado Desconectado

Mensajes: 4



Re: Método de desinfección para el virus VenoM
« Respuesta #8 en: 14 de Noviembre, 2007, 16:12:24 »

Hola
Antes que nada quiero agradecerte mucho el hecho que compartas este tipo de informacion que es por demas interesante y util, fijste que soy el encargado de laboratorios de un cecyte en tepic, y ya me traia lazaro este malware ya que las vacunas que tengo el el area administrativa no lo detectan ni lo limpian, las pc de los laboratorios no tengo tanta bronca pues las tengo congelasdas con el deep freeze y no hay problema.
Gracias a ti he podido retirar el dichoso malware, pero fijate que tengo el problemita que te comenta la compañera anterior despues de seguir todo lo que indicas en varias ocasiones, me sigue apareciendo la dichosa ventanita del block de notas ya sabes el mensajito del venom, y la verdad no he podido localizar donde o cual sera el archivo que se esta ejecutando repetidamente pues son muchos los mensajes que me manda

Mucho te agradeceria si me ayudaras con esta situacion pues ya me ha hecho batallar bastante, de antemano te envio de nuevo las gracias y les envio mis mejores deseos.

Oasandel
« Última modificación: 26 de Noviembre, 2007, 23:58:29 por NekroByte » En línea
righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #9 en: 14 de Noviembre, 2007, 16:56:30 »

he estado checando, y parece que el malwareevoluciona!! jijii
8y creo que uya esta la nueva version venom 2.0)

entoncses, otra vez todo, pero ahora elimina manualmente o con el killbox las carpetas dentro

C:\VenoM.666 (eliminar si todavua existe)
C:\WINDOWS\winlogon.exe (eliminar si todavia existe)


C:\crsvc.exe
C:\WINDOWS\System\winlogon.exe <– Ojo, está en System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\WINDOWS\system32\cmd.exe <– Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe (en cada uno de los usuarios que existan)

(aplica para C, D, E, F, y las particiones que tengas)

C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <– Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <– Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <– Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif


(esto tendria que ser suficiente)



haa ay yo soy de aqui de tepic tambien!!! estudio en la uan!! por si se te ofrece algo!!

www.righost.2ya.com


Nota: Me tomé la libertad de modificar tu post por tu propia seguridad. No creo que te guste que gente con no muy buenas intenciones posea tu cuenta de correo tan fácilmente, e incluso tu número de celular. Si gustas hacer llegar dicha información a Arwing te recomiendo que se la envíes a través de un mensaje privado desde el panel de control de tu cuenta de usuario en el foro.

Silent's Heroe
« Última modificación: 14 de Noviembre, 2007, 18:20:09 por Silent's Heroe » En línea
righost
Forastero
*
Desconectado Desconectado

Mensajes: 9



WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #10 en: 15 de Noviembre, 2007, 16:11:08 »

me puedes leer este log... no le veo nada extraño



Logfile of HijackThis v1.99.1
Scan saved at 02:03:16 p.m., on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrador\Escritorio\seguridad vneom\RegSeeker\RegSeeker.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Oscar López\Escritorio\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [DeskSpace] C:\Archivos de programa\DeskSpace\deskspace.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182481976453
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe



gracias matlingua
En línea
AvErZeNGeL
General
*****
Desconectado Desconectado

Mensajes: 868


ProCeDaMuS In Pace


WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #11 en: 15 de Noviembre, 2007, 23:07:00 »

Citar
me puedes leer este log... no le veo nada extraño

Es que no hay nada extraño. Todo bien. smile
Sólo esta cosita, no pasa nada, pero la puedes eliminar:
 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Saludos  bye
« Última modificación: 15 de Noviembre, 2007, 23:10:28 por AvErZeNGeL » En línea

<(¯°º<(¯`•¸·´¯) AvErZ£NGeL (¯`•¸·´¯)>º°´¯)>----•PrOc£DaMu§ in PaC£•---

 What are you waiting for?
Silent's Heroe
General
*****
Desconectado Desconectado

Mensajes: 395


Tu presente y futuro son el espejo de tu pasado


Re: Método de desinfección para el virus VenoM
« Respuesta #12 en: 16 de Noviembre, 2007, 15:40:22 »

Pues, digamos que "que limpio"!!!!, px tampoco esta el log, jeje LOL LOL

A parte de la entrada que te comenta Averzengel, que aun así, es válida pero px ya no tiene caso tenerla xk parece k el archivo se perdió. Pues te recomiendo que también elimines la siguiente entrada:

O11 - Options group: [INTERNATIONAL] International*

Fuera de ello veo tu log limpio.

Bye
Silent's Heroe thumbsup
En línea

Si la pasión, si la locura no pasaran alguna vez por las almas… ¿Qué valdría la vida?

Lo pasado ha huido, lo que esperas está ausente, pero el presente es tuyo...k esperas para aprovecharlo
AvErZeNGeL
General
*****
Desconectado Desconectado

Mensajes: 868


ProCeDaMuS In Pace


WWW
Re: Método de desinfección para el virus VenoM
« Respuesta #13 en: 16 de Noviembre, 2007, 21:22:45 »

Citar
A parte de la entrada que te comenta Averzengel, que aun así, es válida pero px ya no tiene caso tenerla xk parece k el archivo se perdió. Pues te recomiendo que también elimines la siguiente entrada:

O11 - Options group: [INTERNATIONAL] International*

¡Hey, hey! Cuando yo revisé el log esa entrada no estaba. Tú la debiste haber puesto.   ranting

...Está bien... sorry.  blush  Lo acepto. No la vi.  Lengua. Jaja.

Saludos Netizenssssss  bye


« Última modificación: 16 de Noviembre, 2007, 21:24:59 por AvErZeNGeL » En línea

<(¯°º<(¯`•¸·´¯) AvErZ£NGeL (¯`•¸·´¯)>º°´¯)>----•PrOc£DaMu§ in PaC£•---

 What are you waiting for?
reisach
Forastero
*
Desconectado Desconectado

Mensajes: 1



Re: Método de desinfección para el virus VenoM
« Respuesta #14 en: 17 de Noviembre, 2007, 12:07:32 »

Hola, soy nuevo aqui, pero este virus me trae vuelto loco.

Me baje el HiJackThis de la computadora del trabajo, pero al momento de poner la memoria USB en mi maquina para instalarlo, el archivo desaparecio O_o!!

No lo encuentro en la memoria y no pude instalarlo para seguir los pasos que me das.

De antemano muchas gracias por la ayuda!

Saludos!
En línea
Páginas: [1] 2 Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Powered by MySQL Powered by PHP Powered by SMF 1.1.11 | SMF © 2006-2007, Simple Machines LLC XHTML 1.0 válido! CSS válido!
Página creada en 0.802 segundos con 19 queries.