tengo varios virus: [Archivo] - HACK HiSPANO - Foros de seguridad informática y hacking.

Ver la versión completa : tengo varios virus:

half

15-01-2010, 22:04

Hola

tengo el antivirus avast y avira.

estan actualizados.

tengo los siguientes virus en el sistema:

winampxlm
winguard.vir

por ahora estos dos no me molestaban en lo mas minimo, no alteraron archivos ni accesos, y la pc responde muy bien como siempre.

El problema es el sigueinte: hace un día me trajeron un virus en un pen drive, si bien avira lo detecto al parecer se contagio igual mi sistema.

lo que hace es lo siguiente:
al abrir MI pc, Mis documentos, explorador de windows, buscador de windows etc... aparece en pantalla un cuadro de dialogo que dice:

search settings 1.2.2
please wait while windows configures search settings 1.2.2
y como opcion solo da el boton "cancel"

si presionas cancel aparece un nuevo dialogo preguntando si estas seguro de salir de la nstalacion... bueno le digo si etc etc... y por fin termina la historia y me deja hacer lo que fuere (abrir mis documentos, el buscador o lo que sea... ) normalmente.

Mi pregunta es:

Conocen este virus? si es asi, saben como quitarlo?
respecto a los dos virus anteriores voy a buscar en google por sus nombres... pero éste ultimo parece mas complejo...

agradezco cualquier aporte. gracias!

RaidMan

16-01-2010, 04:01

Varias cosas:

1º Tener dos Antivirus instalados y funcionando es FATAL para el sistema. Se vuelve inestable, y ninguno de los dos desarrollan la actividad que deberian con normalidad, ademas de que chupan memoria por un tubo.

2º Los dos virus que te marcan probablemente no puedas borrarlos porque en ese momento estan en ejecucion. Prueba a eliminar sus entradas del registro (Normalmente en HKLM\Software\Microsoft\Windows\Current Version\Run) o quitarlos del inicio desde msconfig (inicio\ejecutar--> msconfig) Una vez echo esto haz un "apagado seguro del sistema" (Aprieta el boton de encendido durante unos segundos o dale al RESET directamente).

3º Instala un unico antivirus. El Avira esta bien, pero yo te recomiendo usar el NOD32. Para gustos los colores.
Probablemente el NOD sepa que hacer con el ultimo virus que te a entrado via Pen Drive y que el Avira no pudo bloquear.

4º Si quieres evitar ese tipo de problemas con los Pen Drive que te dejen, deshabilita la Reproduccion Automatica. (Inicio\ejecutar--> gpedit.msc Ahi ve a Configuracion del equipo\Plantillas Administrativas\Sistema. Y selecciona 'Habilitar Reproduccion Automatica' o alguna clave asi. Deshabilitalo y listo)

Siempre puedes pasar un antivirus Online, como el de Eset (http://www.eset-la.com/online-scanner/).

Pasa un HijackThis y peganos el Log que genere.

Un saludo

half

16-01-2010, 14:45

Gracias Raidman

Dejame aclarte que si bien tengo 2 antivirus instalados, sólo 1 está funcionando (abre con windows y está el ícono al lado del reloj) mientras que el otro sólo lo abro si tengo dudas de que el anterior no me haya detectado algún virus y aún tengo sospechas... Aún asi dime si esto que hago está equivocado.

En cuanto a los pendrives, deshabilitare la reproducción automática.

Por último la pc la tengo sin internet así que veré de que manera soluciono lo del antivirus online...

Gracias por todo y comentaré como me fue.

PD: Como es eso de HijackThis???

Marchi

16-01-2010, 16:34

HijackThis (http://free.antivirus.com/hijackthis/) es una utilidad que genera un reporte acerca de determinadas variables de tu sistema que podrían llegar a indicar la existencia de malware o alguna falla de seguridad.

Simplemente lo bajas, lo ejecutas y pegas el reporte.

Saludos

half

26-01-2010, 23:44

Hola!!! pase el hijackthis y me dio este resultado:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 07:44:28 p.m., on 26/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Mx One\mogtr.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\IObit\Advanced SystemCare 3\AWC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%3Fui% 3Dhtml%26zy%3Dl&ltmpl=default&ltmplcache=2&hl=es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.175 2\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Archivos de programa\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = express.express.local
O17 - HKLM\Software\..\Telephony: DomainName = express.express.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = express.express.local
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 10097 bytes

half

01-02-2010, 15:08

ya pegue el log... alguna idea que puedan darme al respecto?

RaidMan

01-02-2010, 19:14

Estas dos entradas hacen referencia al problema que se te esta dando al abrir Mi PC:

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll (file missing)

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll (file missing)

No se si eliminandolas conseguiras algo, en principio no existe la DLL a la que el programa hace referencia, asi que no te tendria porque dar ningun problema.

De todas formas ya sabes cual es la ruta del programa que estaba dandote la lata:

C:\Archivos de programa\Search Settings\kb128\

Borrarlo o no es cosa tuya. :)

Un saludo

half

03-02-2010, 14:42

La carpeta de c:/archivos de programa no se puede eliminar dice: compruebe que no este protegida contra escritura o que no este en uso, aúnque le cambie las propiedades no me permite eliminarla

el registro tampoco puedo eliminarlo

RaidMan

03-02-2010, 16:08

Me parece que has dado con tu amiguito :D

Igual con algun explorador de procesos puedes encontrar el proceso que esta cargandose desde esa carpeta y que no te deja borrarla. Yo uso el ProcessExplorer, puede que te sirva.

Tambien puedes bajarte el FileAssassin para desbloquear el programa que hay dentro de la carpeta y borrarlo con el.

Y si no siempre te queda la opcion de arrancar desde un LiveCD y borrarla desde ahi.

Un saludo

half

17-02-2010, 13:02

Hola Gracias por la ayuda!!! bueno les comento que está solucionado este tema ya que el Avira ahora lo detecta a este virus y por suerte ya no me molesta mas :D a todos los que se interesaron y se detuvieron a leer, muchas gracias!

SOLUCIONADO.

RaidMan

17-02-2010, 13:28

Tema cerrado entonces.

Un saludo