Ayuda (urgente). ¿Posible virus?

Qué mal rollo, coño xD
Si el NOD32 bien actualizado no te detecta nada, pasa el Malwarebytes' Antimalware, y si aún así el virus persiste, ejecuta el HijackThis y pega aquí el log, tal vez pueda ayudarnos.

Saludos.

¡Gracias por la pronta respuesta!
Pues si, el NOD está bien actualizado, es mas cada dia se suele actualzar una o dos veces. Mientras escribia el mensaje anterior (y este) estoy pasando el F-Secure Online a todo el equipo (no se cuan bueno pueda ser). En cuanto acabe (que parece que va para largo, pues ya lleva unos 10/15 minutos en el 66%) paso el que me recomiendas y de no encontrar nada, hago el siguiente paso, aunque bueno, lo tengo por aquí, hecho, lo pego:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:39:22, on 22/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\X-Laws\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?

LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://x-lawspro.blogspot.com/?

zx=fe0782d0abbe0587
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?

LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?

LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-

784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-

5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program

Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0

\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common

Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1

\Skype\SKYPE4~1.DLL
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple

Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32

Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common

Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common

Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32

\nvvsvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common

Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common

Files\Steam\SteamService.exe

--
End of file - 4323 bytes

No es que entienda mucho del tema, pero no he visto nada especialmente raro :/
Gracias por la ayuda

Nada, está limpio. Pasa el programa que te comenté y, en caso de que estés ¿desesperada? utiliza el ComboFix, pero repito: en último caso, es muy «bestia».

Saludos.

Nada, está limpio. Pasa el programa que te comenté y, en caso de que estés ¿desesperada? utiliza el ComboFix, pero repito: en último caso, es muy «bestia».

Saludos.

Gracias, estoy pasandole el programa que me aconsejaste antes el Malwarebytes, le he pasado el analisis rapido (recomendado) y no ha encontrado nada y ahora estoy analizando a fondo y no encuentra nada.
El caso es que mientras le paso el antivirus que sea, no se borra nada, pero en el momento en el que acaba, veo como el pc sigue cargando (la luz no para de parpadear) y comienza otra vez a borrar :S
¿Que quieres decir con que el ComboFix es muy bestia? ¿Que hace?
Muchas gracias por la ayuda que me estas prestando.

El ComboFix, digamos que "extermina" todo lo sospechoso, así que a lo mejor algún programa desconocido puede irse a la mierda.
Te recomiendo hacer una copia de seguridad de los archivos que necesites, tanto por el ComboFix, como por si pierdes alguno por el "borrado fantasma". Una vez tengas todo en regla, pasa el ComboFix y que se cargue todo lo que encuentre.

Si aún con éstas sigue resistiéndose, utiliza CCleaner para borrar los archivos temporales y reparar los problemas en el registro. También puedes echarle un ojo al Inicio, para ver si se inicia algo sospechoso con Windows, aunque el HijackThis desde luego no lo ha sacado a la luz.

Después, lo único que te queda es activar Mostrar archivos ocultos y desactivar Ocultar arhivos del sistema en Opciones de carpeta (Explorador de Windows > Herramientas > Opciones de carpeta...) y buscar por ti misma.

Saludos y suerte.

Muchas gracias, es lo que tendré que hacer
pero temo que si (en ultimo caso) tengo que formatear, al hacer copia de seguridad de lo que tengo, pueda volver a meter el 'virus' o lo que sea que está borrando archivos de nuevo tras el formateo.
¿Y el ComboFix borra sin mas? ¿o permite al usuario seleccionar lo que hacer?
PD. El hecho de que parezca 'inteligente' por detenerse mientras paso cualquier analisis antivirus, ¿podria deberse a que no es algo sino alguien lo que ataca al pc y borra archivos? es decir, ¿podria estar alguien entrando en mi pc, teniendo NOD activado y teniendo todos los puertos cerrados en el router hasta el 10.000?

Y has mirado que no se te hayan creado puntos de restauracion? A mi me paso. Me los cargue, y ale, a ganar espacio.

Y has mirado que no se te hayan creado puntos de restauracion? A mi me paso. Me los cargue, y ale, a ganar espacio.

El problema es que lo que sea que tengo en el pc ya me está haciendo ganar espacio sin yo querer. Y ese es otro tema, he visto que lleva unos 4/5 dias (mas o menos desde que ha empezado esto) que está creado puntos de restauración (anteriormente yo jamás habia creado ninguno) casi a diario y todos se llaman C$

Buenas. Siento mi inactividad xD
El ComboFix, creo recordar que no pregunta.
La copia de seguridad hazla única y exclusivamente de tus archivos, ningún tipo de archivo del sistema, y en principio no debería colarse el virus.
Según el log del HijackThis no hay nada desconocido ejecutándose, así que es bastante improbable (aunque no imposible) que tu PC esté siendo controlado remotamente.

Saludos.

X-Law escribió:

Y has mirado que no se te hayan creado puntos de restauracion? A mi me paso. Me los cargue, y ale, a ganar espacio.

El problema es que lo que sea que tengo en el pc ya me está haciendo ganar espacio sin yo querer. Y ese es otro tema, he visto que lleva unos 4/5 dias (mas o menos desde que ha empezado esto) que está creado puntos de restauración (anteriormente yo jamás habia creado ninguno) casi a diario y todos se llaman C$

Intenta liberar espacio en el disco duro (en las herramientas de disco) o búscate una demo (si eres vago la encuentras rápido) del cc cleaner y limpia un poco el disco.

Buenas
Siento no haber respondido antes, es que por temor a que se siguiera borrando, no puse ayer el pc.
Probé si podia estar siendo controlado apagando el router y dejando el pc sin conexión, entonces me di cuenta de que se seguia borrando.

Intenta liberar espacio en el disco duro (en las herramientas de disco) o búscate una demo (si eres vago la encuentras rápido) del cc cleaner y limpia un poco el disco.

Ya he pasado el CCleaner y nada, no ha detectado nada, me borró unos 3 gb de archivos temporales, etc, pero no ha cambiado nada, se sigue borrando progresivamente

Buenas. Siento mi inactividad xD
El ComboFix, creo recordar que no pregunta.
La copia de seguridad hazla única y exclusivamente de tus archivos, ningún tipo de archivo del sistema, y en principio no debería colarse el virus.
Según el log del HijackThis no hay nada desconocido ejecutándose, así que es bastante improbable (aunque no imposible) que tu PC esté siendo controlado remotamente.

Saludos.

Ah, vale. Eso es lo que haré, me llevará bastante tiempo porque son unos cientos de gb's pero bueno ^^. 2 preguntas:
1 ¿la carpeta de Fonts que pertenece a windows la puedo copiar? (para evitar tener que volver a instalarlas) o ¿es mejor no copiar nada de ahí?
2 Si hago una partición y la formateo y ahí le instalo otro SO y a partir de ese SO voy liberando disco y formateando lo que libero ¿me desharía del virus? me refiero que si así se quedaría limpio sin necesidad de tener que usar el ComboFix

Gracias por vuestra ayuda ^^
Saludos

Puedes probar también a instalarte el avast!, ya que siempre que he tenido virus me los ha detectado y los ha borrado.

Lo bueno que tiene este antivirus es que los escaneos puedes hacerlos antes de que se inice windows y la ventaja es que puede borrar las cosas sin problemas.

X-Law escribió:El problema es que lo que sea que tengo en el pc ya me está haciendo ganar espacio sin yo querer. Y ese es otro tema, he visto que lleva unos 4/5 dias (mas o menos desde que ha empezado esto) que está creado puntos de restauración (anteriormente yo jamás habia creado ninguno) casi a diario y todos se llaman C$

Pues eso ya no es normal, el sistema te crea los puntos de restauración al instalar/desinstalar programas, y más a diario y con nombre C$...te recomiendo el spybot para el software malicioso...

Sigue estos pasos sencillos, (previamente actualiza nod32 y spybot) desconectate de internet, desactiva restaurar sistema, Windows Vista mostrar extensiones de archivo, reinicia a prueba de fallos, pasale el nod32 con heurística avanzada, luego spybot, y por último cleaner...reinicia y repite los pasos...
Una vez hayas terminado pon la configuración de archivo como estaba y crea un punto de restauración...

Veamos, ronda de aclaramientos:

1. Puedes copiarla, dudo que el virus esté ahí, pero siempre será mejor volver a instalar las fuentes limpiamente.
2. Aunque, en principio, iniciando desde un SO que no sea el infectado no debería pasar nada, puede que el virus esté programado para copiarse al hacer esto, así que mejor evítalo.

• Sanguinario:
  Pásate por el hilo de entivirus y comprobarás que el suyo actual supera a Avast! 4, por no hablar de que la versión 5 es inestable.

• Hail_Mary:
  Lo que has comentado ya lo ha probado, ha escaneado varias veces con NOD32 y MBAM, este último más potente que Spybot S&D. Así que gracias por la ayuda, pero sería ahondar en el barro y no conduciría a nada.

Saludos.

Serede escribió:Veamos, ronda de aclaramientos:

1. Puedes copiarla, dudo que el virus esté ahí, pero siempre será mejor volver a instalar las fuentes limpiamente.
2. Aunque, en principio, iniciando desde un SO que no sea el infectado no debería pasar nada, puede que el virus esté programado para copiarse al hacer esto, así que mejor evítalo.

• Sanguinario:
  Pásate por el hilo de entivirus y comprobarás que el suyo actual supera a Avast! 4, por no hablar de que la versión 5 es inestable.

• Hail_Mary:
  Lo que has comentado ya lo ha probado, ha escaneado varias veces con NOD32 y MBAM, este último más potente que Spybot S&D. Así que gracias por la ayuda, pero sería ahondar en el barro y no conduciría a nada.

Saludos.

Eso de que el NOD32 supera al Avast! lo será para vosotros, porque mi experiencia con el NOD32 ha sido nefasta, cuando lo tenía puesto, no me notificaba nada de nada, como si estuviera muerto.
Por aquel entonces también se lo puse a mi padre y por un pendrive del trabajo se le infectó el PC y el NOD32 no limpió NADA ni detectó NADA (estaba actualizado a diario) y el avast! sí, así que...

Sobre la versión 5, lógico que sea inestable, ya que es una beta ¬¬ ... espera a que salga la versión final....

Pero no estaría mal que probase otro antivirus, ya que ninguno es perfecto, igual con otro como el Avast! se le limpia todo, nunca se sabe.

Avast! detecta cualquier EXE desconocido como virus, así que no me extraña que te detectase algo.
Por otra parte, a mí me respaldan las encuestas. Si NOD32 no te encontraba nada, probablemente era que no lo tenías.

P.D.: NOD32, desde su versión 2.7 ha sido considerado como el antivirus más potente y ligero, en lo que a recursos se refiere, así que si utilizabas una versión anterior, no tengo nada que decir.

Saludos.

Serede escribió:Avast! detecta cualquier EXE desconocido como virus, así que no me extraña que te detectase algo.
Por otra parte, a mí me respaldan las encuestas. Si NOD32 no te encontraba nada, probablemente era que no lo tenías.

P.D.: NOD32, desde su versión 2.7 ha sido considerado como el antivirus más potente y ligero, en lo que a recursos se refiere, así que si utilizabas una versión anterior, no tengo nada que decir.

Saludos.

Usaba la versión 2.7

Sanguinario escribió:Usaba la versión 2.7

Yo la 2.7 la usé poco tiempo y, aunque daba buenos resultados, te anuncio que las 3 y 4 la superan con creces.
De todas formas, en ese caso lo tendrías que comparar con las versión 3 de Avast! o, en todo caso, las 4 tempranas. Obviamente, Avast! 4.7 y posteriores son mejores que NOD32 2.7, porque la primera es más avanzada.

Saludos.

Prueba a bajarte TaskManager http://www.neuber.com/taskmanager/espanol/index.html y busca procesos raros... esté programa funciona bastante mejor que el de windows.

También puedes bajarte el sysinternals que es un pack de utilidades que recientemente fue adquirido por microsoft, en ella encontraras otro monitor de procesos y unas cuantas utilidades mas.http://technet.microsoft.com/es-es/sysinternals/default.aspx

Doggab escribió:Prueba a bajarte TaskManager http://www.neuber.com/taskmanager/espanol/index.html y busca procesos raros... esté programa funciona bastante mejor que el de windows.

También puedes bajarte el sysinternals que es un pack de utilidades que recientemente fue adquirido por microsoft, en ella encontraras otro monitor de procesos y unas cuantas utilidades mas.http://technet.microsoft.com/es-es/sysinternals/default.aspx

Sé que intentáis ayudar, pero... ¿para qué iba a hacer eso? O_O
Ya nos ha dicho el HijackThis que no hay nada raro ejecutándose.

Saludos.

¡Gracias a todos por vuestra ayuda!
La verdad es que al final me puse a hacer lo de la partición ya que no recibí respuesta (rápida quiero decir) y encima el maldito virus ya me había vetado el acceso a Internet y no podía mirar este post a menos que fuese a un ciber . El problema es que por culpa del dichoso Paragon Partition Manager, pues ahora tengo una partición de 26gb desde donde arranco el SO y luego el resto del disco duro sin formato y sin acceso a el. Actualmente estoy grabando copia de seguridad de mis archivos, bueno, mas bien, los que puedo ir recuperando con el GetDataBack de los mas de 400gb sin formato que tengo, ya casi he acabado.
¿Que debería hacer después de acabar?¿que es lo mas recomendable?
1-Darle formato a esa partición que no lo tiene y pasarle el combofix
2-Formatear ambas particiones y reinstalar de cero un SO y poner ya antivirus, etc sin pasar combofix

Gracias por la ayuda.
Saludos.

Lo segundo, pero haz un formateo completo y te aseguras de que nuestro amigo no vuelva.

Un saludo.

Vale, muchas gracias ^^
Por cierto una ultima duda
En windows XP recuerdo que en el CD de instalación, venia la opción de formato rápido o completo, pero en el de windows vista y 7 no he visto esa opción, ¿como lo hago?
Saludos

Sí está.
Teniendo seleccionada la partición había algo como "Opciones de partición" o similar bajo la tabla de particiones, dándole ahí aparece.

Un saludo.

Vale, muchas gracias, lo miraré ^^ A ver si puedo volver a tener un pc 'normal'
Muchas gracias por tu ayuda.
Saludos