Infectado!?!?!

Question

Infectado!?!?!

ferdy_vk 22 jul 2008 23:44

Knights of Cydonia

25.634 mensajes
desde mar 2005
en Vallekas

Bueno pues me ha entrado un virus o un troyano o algo... no tengo ni idea de estas cosas y no tengo ni antivirus ni hostias (luego claro... pasa lo que pasa...). El caso es que me ha salido algo y el PC me va algo rarete..... para empezar con el firefox no me bien (no me va EOL!!!! xD) pero el enternet explorer si me va mas o menos bien.... luego tb me sale muchos popups de programas antiespias y de popups que me dice que tengo infecciones de spywares.... como esto:

Imagen

Lo mas raro es que se me cambia el escritorio... me sale esto:

Imagen

Cuando pincho sobre el enlace que pone "click here to scan..." si, si, puedo pinchar eso... yo flipo! me lleva a http://windows-privacy-protection.com/?aid=444.471 (es un enlace a un programa de antiespias, lo que no se es si es de verdad o es para agrandar el "virus" o lo que sea...

Os ha pasado eso alguna vez??? le he pasado el ad-aware un par de veces pero sigue igual... que me recomendais???

Gracias!

14 respuestas

akman 22 jul 2008 23:50 Adicto **388** mensajes desde **nov 2007** · Answer 1 · 2008-07-22T21:50:18+00:00

eso es una infecccion en toda regla, pasale los programas habituales a poder ser en modo seguro

Answer 2 · 2008-07-23T08:51:52+00:00

Ami tambien me entro y no tengo antivirus, yo volvi el ordenador a un estado anterior y desaparecio

Answer 3 · 2008-07-23T09:41:26+00:00

Pues lo de siempre:
Entra en modo seguro y pásale el ad-aware actualizado.

Luego mírate estos hilos a ver si te sirve:
hilo_Me-s...avegar-_972602?
hilo_Se-m...spyware_979450?
hilo_prob...op-up-s_987674?
hilo_Teng...s---O-o_985415?
hilo_Aper...poco---_982979?

Si después de revisarlos sigues con problemas pon el log de hijackthis aquí.

Saludos

Answer 4 · 2008-07-24T15:24:16+00:00

Gracias por contestar! a ver, en el hijackthis me sale esto:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:11, on 24/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\ad-aware\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\uoyzsydz.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Program Files\Jazztel\Adsl\dslstat.exe
C:\Program Files\Jazztel\Adsl\dslagent.exe
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe
C:\Documents and Settings\Prad0\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Documents and Settings\Prad0\Configuración local\Datos de programa\YouTube\Uploader\youtubeuploader.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Archivos de programa\DU Meter\DUMeterSvc.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\winself.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\uoyzsydz.exe,
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Jazztel\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Jazztel\Adsl\dslagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM6f1ba056] Rundll32.exe "C:\WINDOWS\system32\qsdhmxns.dll",s
O4 - HKLM\..\Run: [6c2893ca] rundll32.exe "C:\WINDOWS\system32\pvpxlapw.dll",b
O4 - HKLM\..\RunOnce: [BorraL2007TMP] cmd /C RD /s/q "C:\DOCUME~1\Prad0\CONFIG~1\Temp\L2007tmp"
O4 - HKCU\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Prad0\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: YouTube Uploader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65
O17 - HKLM\System\CS1\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65
O17 - HKLM\System\CS2\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\ad-aware\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Archivos de programa\DU Meter\DUMeterSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\winself.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8378 bytes

Veis algo sospechoso??? qué hago?

Answer 5 · 2008-07-24T15:35:49+00:00

Ufff Panda (Anti)Virus
Dale a FIX:

Lo que parece que es malo casi seguro:
C:\WINDOWS\system32\uoyzsydz.exe
O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)
El archivo uoyzsydz.exe, comprueba que se lo ha cargado de manera manual. Ve al directorio y si aún está allí te lo cargas.

Cosas que deberías comprobar tu si sabes que son:
C:\Documents and Settings\Prad0\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\Prad0\Configuración local\Datos de programa\YouTube\Uploader\youtubeuploader.exe
C:\WINDOWS\winself.exe
O4 - HKLM\..\Run: [BM6f1ba056] Rundll32.exe "C:\WINDOWS\system32\qsdhmxns.dll",s
O4 - HKLM\..\Run: [6c2893ca] rundll32.exe "C:\WINDOWS\system32\pvpxlapw.dll",b
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Prad0\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

Y comprueba que estas son las DNS correctas :
O17 - HKLM\System\CCS\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65
O17 - HKLM\System\CS1\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65
O17 - HKLM\System\CS2\Services\Tcpip\..\{0192D29F-8C53-48C9-B22F-E8694E9BDC2D}: NameServer = 62.14.4.64 62.14.4.65

Cuando se usa este programa se supone que ya has probado todo lo demás:
- Ad-Aware
- Spybot
- Nod32
- Scaner online
...

No me hago responsable de que la cosa empeore (aunque es difícil)

Answer 6 · 2008-07-24T15:41:33+00:00

xRas3ngaNx 24 jul 2008 17:41

VerdQteQuieroVerd

1.835 mensajes
desde dic 2006
en Madrid

¿Y porque no le pasas un escaner online y sales de dudas???

Nephesh 24 jul 2008 18:08 Novato 1 mensaje desde **jul 2008** · Answer 7 · 2008-07-24T16:08:49+00:00

Tengo un porblema con una aplicacion llamada Microsoft.exe, esta me ocurre cuando inserto algun dispositivo extraible, pendrivers, cds, dvds, me aparec un cuadro de dialgo indicando que nohayu disco en la unidad Device/HardDsik/ dr2 o en su defecto en la uniudad D. Tome la decision de formatear mi medio extraible pendrive, y posteriormente la maquina, pero despues de darlke formato la aplicacion sigue alli.... La unica forma que no me moleste es dejando algun medio extraible dentro de la unidad D... Sabrabn que es, porque tengo el NOD32 3.0 y no me lo ha podido detectar [hallow]

Answer 8 · 2008-07-24T16:31:26+00:00

Nephesh escribió:Tengo un porblema con una aplicacion llamada Microsoft.exe, esta me ocurre cuando inserto algun dispositivo extraible, pendrivers, cds, dvds, me aparec un cuadro de dialgo indicando que nohayu disco en la unidad Device/HardDsik/ dr2 o en su defecto en la uniudad D. Tome la decision de formatear mi medio extraible pendrive, y posteriormente la maquina, pero despues de darlke formato la aplicacion sigue alli.... La unica forma que no me moleste es dejando algun medio extraible dentro de la unidad D... Sabrabn que es, porque tengo el NOD32 3.0 y no me lo ha podido detectar

Seria mejor que abrieses un nuevo hilo, ya que pude que el autor de este le moleste.
De todas formas revista estos links:
http://www.vsantivirus.com/gaobot-ed.htm
http://www.liutilities.com/products/win ... microsoft/
http://es.kioskea.net/forum/affich-3821 ... utorun-inf

Saludos

Answer 9 · 2008-07-24T20:22:25+00:00

Ese mismo fondo me aparecia a mi en un portatil que estuve limpiando de virus, lo que sucede es que ha cambiado el fondo de pantalla por defecto, por una web html, que se encuentra en C:\Windows. Aparte de eso te recomiendo que pases el Spybot Search And Destroy, y el NOD32

#1302# 24 jul 2008 22:38 · Answer 10 · 2008-07-24T20:38:03+00:00

Tiene pinta de ser de la familia de malware "Virtumonde".

**

Probad lo que ya he comentado en este hilo: viewtopic.php?f=18&t=1064126&p=1712808151#p1712808151

xamumano 25 jul 2008 00:22 Adicto **183** mensajes desde **oct 2007** · Answer 11 · 2008-07-24T22:22:54+00:00

xamumano 25 jul 2008 00:22

Adicto

183 mensajes
desde oct 2007

Format C.... [sonrisa]

Answer 12 · 2008-07-25T18:30:24+00:00

Sigo igual.... he pasado tb el spybot search and destroy pero todo sigue igual.... no se.... ademas no puedo encender el PC en "modo seguro" porque cuando me salen las opciones de encender el PC en modo seguro, en modo normal y otras dos cosas mas, no puedo elegir la opción con las flechitas (como si no funcionara el teclado en ese momento...)

Que hago???? es que formatear me da palo.... más aún por una "chorrada" asi....

Answer 13 · 2008-07-26T00:49:40+00:00

Y despues de dejar el PC en buenas condiciones, deja de usar tanto IE, y usa mas MozillaFirefox, Opera o cualquier otro

#1302# 26 jul 2008 11:25 · Answer 14 · 2008-07-26T09:25:14+00:00

ferdy_vk escribió:Sigo igual.... he pasado tb el spybot search and destroy pero todo sigue igual.... no se.... ademas no puedo encender el PC en "modo seguro" porque cuando me salen las opciones de encender el PC en modo seguro, en modo normal y otras dos cosas mas, no puedo elegir la opción con las flechitas (como si no funcionara el teclado en ese momento...)

Que hago???? es que formatear me da palo.... más aún por una "chorrada" asi....

coyote escribió:Tiene pinta de ser de la familia de malware "Virtumonde".

**

Probad lo que ya he comentado en este hilo: viewtopic.php?f=18&t=1064126&p=1712808151#p1712808151

¿Has probado con eso que he comentado?