Archivo infectado imposible de eliminar

Question

Archivo infectado imposible de eliminar

Viciomovil 12 abr 2008 16:43

MegaAdicto!!!

2.672 mensajes
desde may 2006

Hola, tengo el windows xp protegido con el NOD32 y llevo una semana horrible, proque hay un virus que no consigo eliminar, el nod32 le digo eliminar y me dice que lo hara despues del proximo reinicio, le doy a reiniciar y nada, el archivo infectado sigue ahi. Para colmo ni siquiera me funciona el reproductor de windows media e internet explorer...
¿Algun consejo para hacer limpieza de este pc?

Incluso he pensado en hacer una particion y meterme ubuntu y dejarme de problemas, pero como es un portatil no estoy muy seguro.
Salu2!

15 respuestas

Answer 1 · 2008-04-12T14:48:54+00:00

prueba a usar otro antivirus...kaspersky por ejemplo..

pasalo primero online y despues ve a por el virus directamente...

axelin 12 abr 2008 16:49 Habitual 31 mensajes desde **sep 2006** · Answer 2 · 2008-04-12T14:49:40+00:00

Pasa el nod32 metiéndote a prueba de fallos para que el virus aún no se haya ejecutado y no esté residente en memoria. Es posible que asi te funcione.

#1302# 12 abr 2008 16:51 · Answer 3 · 2008-04-12T14:51:11+00:00

¿Haces las "limpiezas" desde el modo seguro?.

Si persiste, pasa el log del hijackthis para ver que tienes.

Answer 4 · 2008-04-12T16:43:45+00:00

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:30, on 12/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Archivos de programa\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Samsung\Samsung EDS\EDSAgent.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Atheros WLAN Client\ACU.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Archivos de programa\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Hamachi\hamachi.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery Live.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {02935A52-350A-4782-9641-1A6EB28A4E74} - C:\WINDOWS\system32\mljgg.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16B312F2-FC66-46E1-A740-65234F2844D6} - (no file)
O2 - BHO: (no name) - {33E50C8A-B6DC-4CF6-855B-8F27B3DBCC39} - (no file)
O2 - BHO: (no name) - {3FECA576-7AD2-4E11-A6AD-6B59D4FB5DB9} - C:\WINDOWS\system32\opnkjji.dll (file missing)
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9B83E287-24A1-4075-8451-0B38FDF0F0B1} - (no file)
O2 - BHO: {dbb0a886-61d9-6ea9-0884-a53f67a7d1f9} - {9f1d7a76-f35a-4880-9ae6-9d16688a0bbd} - C:\WINDOWS\system32\kjquayxs.dll
O2 - BHO: (no name) - {a4dc9b42-786b-4de2-a4b3-71d7749db38e} - (no file)
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: SBBho Class - {c9803b12-f0a0-11dc-95ff-0800200c9a66} - C:\WINDOWS\TinyBHO.dll (file missing)
O2 - BHO: (no name) - {F57FA1E3-CFF2-4B90-9BC0-84CB9C2FC020} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StartCCC] C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Archivos de programa\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Archivos de programa\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\Atheros WLAN Client\ACU.exe" -nogui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [2835dca4] rundll32.exe "C:\WINDOWS\system32\ksgdpvwd.dll",b
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BM2b06ef38] Rundll32.exe "C:\WINDOWS\system32\ojcxwyup.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Archivos de programa\Hamachi\hamachi.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: ZDWLan Utility.lnk = C:\Archivos de programa\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206460311667
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: opnkjji - opnkjji.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Archivos de programa\Samsung\Samsung Update Plus\SLUBackgroundService.exe

--
End of file - 10239 bytes

En modo seguro no he conseguido mas que me pida reinicar otra vez :S. Ese es el log del hijackthis.
Salu2!

#1302# 12 abr 2008 18:49 · Answer 5 · 2008-04-12T16:49:41+00:00

Para que lo pones como Spoiler? ¬_¬

Esto no se lo que sera:

C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

----
Esto si, cargatelo todo:

O2 - BHO: (no name) - {02935A52-350A-4782-9641-1A6EB28A4E74} - C:\WINDOWS\system32\mljgg.dll
2 - BHO: (no name) - {16B312F2-FC66-46E1-A740-65234F2844D6} - (no file)
O2 - BHO: (no name) - {33E50C8A-B6DC-4CF6-855B-8F27B3DBCC39} - (no file)
O2 - BHO: (no name) - {3FECA576-7AD2-4E11-A6AD-6B59D4FB5DB9} - C:\WINDOWS\system32\opnkjji.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9B83E287-24A1-4075-8451-0B38FDF0F0B1} - (no file)
O2 - BHO: {dbb0a886-61d9-6ea9-0884-a53f67a7d1f9} - {9f1d7a76-f35a-4880-9ae6-9d16688a0bbd} - C:\WINDOWS\system32\kjquayxs.dll
O2 - BHO: (no name) - {a4dc9b42-786b-4de2-a4b3-71d7749db38e} - (no file)
O2 - BHO: SBBho Class - {c9803b12-f0a0-11dc-95ff-0800200c9a66} - C:\WINDOWS\TinyBHO.dll (file missing)
O2 - BHO: (no name) - {F57FA1E3-CFF2-4B90-9BC0-84CB9C2FC020} - (no file)
O4 - HKLM\..\Run: [2835dca4] rundll32.exe "C:\WINDOWS\system32\ksgdpvwd.dll",b
O4 - HKLM\..\Run: [BM2b06ef38] Rundll32.exe "C:\WINDOWS\system32\ojcxwyup.dll",s
O20 - Winlogon Notify: opnkjji - opnkjji.dll (file missing)

Aunque los que pone (file missing) al final se supone que ya no existen.

PD: NOD32 cada vez peor...

Answer 6 · 2008-04-12T16:56:01+00:00

coyote escribió:Para que lo pones como Spoiler?

Esto no se lo que sera:

C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

AGRSMMSG.exe será porque usará un modem pci supongo y RTHDCPL.EXE son los drivers de sonido de realtek de la placa base. Ninguno de ellos es peligroso.

Edito para decir que AGRSMMSG.exe es porque tienes en la placa base el modem y el audio en una misma pieza (modem AMR) asi que no lo borres xD

Answer 7 · 2008-04-12T17:20:39+00:00

Nada el maldito archivo no desaparece.El hijackthis me dice que cierre todas las ventanas de windows e ie, hasta e finalizado el proceso explorer.exe pero sigue sin haber manera humana de hacerlo,lo borro, reescaneo y sigue ahi.En cambio lo demas si que he podido borrarlo.
Salu2!

#1302# 12 abr 2008 19:21 · Answer 8 · 2008-04-12T17:21:49+00:00

#1302# 12 abr 2008 19:21

¿Desde el modo seguro?

Answer 9 · 2008-04-12T17:23:01+00:00

coyote escribió:¿Desde el modo seguro?

Si entro al modo seguro, no me aparece ningun 02 en el hijackthis.

Salu2!

PD: lo del spoiler era porque no queria ocupar mucho espacio, y pensaba en los foros phpbb

#1302# 12 abr 2008 19:25 · Answer 10 · 2008-04-12T17:25:42+00:00

Pues desde el modo seguro borra manualmente las DLLs antes mencionadas.

Luego en el modo normal, pásale un CCleaner

Answer 11 · 2008-04-12T17:38:02+00:00

No me las deja borrar ni en modo seguro, me dice que estan siendo usadas.
Salu2!

#1302# 12 abr 2008 19:40 · Answer 12 · 2008-04-12T17:40:51+00:00

Había algo para ello... mmm...

Prueba con esto:
http://killbox.net/

PD: cambia de antivirus...

Answer 13 · 2008-04-12T17:51:31+00:00

OMG...
Incluso entrando en modo seguro, usando ese programa me sale File Could Not Be Deleted.
Me da que voy a formatear...
Como necesito seguir usando windows xp, algun consejo para blindar el equipo y que no me pase como ahora?
Salu2!

#1302# 12 abr 2008 19:55 · Answer 14 · 2008-04-12T17:55:09+00:00

Viciomovil escribió:.Como necesito seguir usando windows xp, algun consejo para blindar el equipo y que no me pase como ahora?
Salu2!

Lo principal, no usar una cuenta de administrador, así los que sea no podrá escribir en SYSTEM32. Es un poco fastidioso al principio pero es mejor.

Aparte de un antivirus (Antivir XP para ser gratuito tira muy bien) y usar Firefox+NoScript para navegar y sobre todo SENTIDO COMUN.

PD: siempre podrás usar una distro de Linux que soporte escritura NTFS (Ubuntu creo que desde el LiveCD puede) y de ahí eliminar las DLLs.

Answer 15 · 2008-04-12T17:58:58+00:00

coyote escribió:
Lo principal, no usar una cuenta de administrador, así los que sea no podrá escribir en SYSTEM32. Es un poco fastidioso al principio pero es mejor.

Aparte de un antivirus (Antivir XP para ser gratuito tira muy bien) y usar Firefox+NoScript para navegar y sobre todo SENTIDO COMUN.

PD: siempre podrás usar una distro de Linux que soporte escritura NTFS (Ubuntu creo que desde el LiveCD puede) y de ahí eliminar las DLLs.

Muchas gracias por todos los consejos

.
Y lo de sentido comun me ha ofendido

.
Salu2!