Virus varios .... ¡¡¡ AYUDAAAA !!!

[arianza]

Hola gentes. ¿Como van?
Les cuento que ando necesitando una ayuda.
Me trajeron una Laptop (Compaq presario F700), con XP. y un par de virus interesantes ....
Por empezar, la máquina se ralentiza mal, y es lógico, haciendo CTRL+ALT+DEL, miro el administrador de tareas, y en la solapa 'Procesos' encuentro la friolera de 40 procesos llamados iexplorer ... jejeje
Por otro lado, la conexión a Internet, me permite acceder a páginas que no sean de antivirus, spyware, etc. El IMON del Nod 32, me detecta actividad de un troyano (me dice lo siguiente: Archivo: http://146.185.246.104/dqs.exe. Código malicioso: Variante modificada de Win32/Sapik (Troyano). Descripción: 'El objeto tiene una amenaza para su ordenador. Posibilidades: copiar a cuarentena o abortar el archivo, si bien lo hago, con los troyanos podés hacer esto 3 millones de veces ... Este fin de semana es la tercera vez que este virus me da problemas, pero en las otras no fué tan grave porque estaba solo, acá me parece que él no está solo .... Me acuerdo que el archivo en el que estaba enquistado el virus, era algo un archivo muy similar al CHROME ... a tal punto que lo googlé y me trajo 'Ud. tal vez quiso decir CHROME' ......... Sospecho que entró por ahí, porque en el chrome, tenía unas barras de búsqueda medias raras .... Al AVG, si bien logré meter el exe en la máquina, no me permite instalarlo (y menos actualizarlo, obvio).
Logré meter el NORTON que viene en los CD con los driver de las placas, pero van mas de 21.000 archivos analizados y nada (creo que no va a encontrar nada).
Con Tune-up desabilité un montón de cosas, para que no arranquen .... pero sin resultados.
El IE, tiene marcada como página de inicio la url: http://homitrlz.in/, y no deja cambiarla (está deshabilitada la opción)....
Muchos permisos de administrador están bloqueados ...
..... encendí la máquina en modo seguro ... no hay caso ... los síntomas son los mismos ... ralentizada al máximo (aunque no veo los procesos iexplorer), el cpu está al 100% todo el tiempo .... desinstalé el NORTON porque me estaba dando mas dolores de cabeza que soluciones, asi que reinicié el equipo con el NOD32 y me salta el aviso que les comenté mas arriba ...
Alguna sugerencia ???

[Master.Mind]

Mirá Arianza, no instales antivirus a lo loco porque es probable que no soluciones el problema. Hay que hacer 2 escaneos a fondo y usar el HijackThis (sólo bajo supervisión de alguien que lo sepa interpretar) para resolver el tema.

Para no volverte loco, vamos a empezar a sacar en pocos segundos lo más "grueso" y después seguimos con la desinfección a fondo. Hacé lo siguiente:

a. Bajá el HijackThis , guardalo en tu PC y creá un acceso directo en el escritorio para tenerlo a mano.

b. Cerrá todas las ventanas, ejecutá el HijackThis, elegí Do a system scan only, guardá el log que se genera y pegalo acá como texto (no lo adjuntes).

IMPORTANTE: es probable que tengas que bajar el HijackThis de otra máquina y copiarlo a la PC infectada. Si no te deja ejecutarlo, podés hacerlo desde el pendrive porque es solamente un archivo ejecutable (no instala nada).

[arianza]

... sisi, es como decís ... desinstalé el norton, solo está el NOD32 ... voy a ver si esta noche puedo correr el programita ese y te mando el resultado ... a ver que onda ... tks

[Master.Mind]

Si querés avanzar rápido, te aviso que te voy a responder 22 o 22:30hs y seguro te indico un escaneo no tradicional en mis instrucciones. Te aclaro para que puedas ver mi respuesta y dejar la máquina escaneando a la noche cuando no la usás.

[arianza]

Hola Master ... pude ejecutar el hijack desde la misma pc porque pude bajarlo en ella (tal vez el antivirus no la reconozca como peligrosa para el) ...
Ese Hijack esta muy bueno .... estoy viendo un par de cosas que no me gustan pero bueno ... vos la tenes mas clara ... asi que te paso el resultado ...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:47:16 p.m., on 28/05/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Motorola\MotoHelper\MotoHelperService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Motorola\MotoHelper\MotoHelperAgent.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\wrdrive32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elena\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\Elena\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\Elena\Datos de programa\1C.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Elena\Escritorio\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homitrlz.in
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buscamp3.tv
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.buscamp3.tv/results.php?q...ID:10&ie=UTF-8
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbhelper.dll
O2 - BHO: TBSB07458 - {5B839A5A-753B-4CFA-9330-071FC5B60471} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbcore3.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: shARES - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\prxtbshA0.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: (no name) - {B8FCDECB-05F4-43C2-8CA4-5FE83D98F9B3}8CA4-5FE83D98F9B3} - (no file)
O3 - Toolbar: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\prxtbshA0.dll
O3 - Toolbar: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbcore3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8 574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbcore3.dll
O9 - Extra 'Tools' menuitem: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbcore3.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1217000438921
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio de configuración de Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MotoHelper Service (MotoHelper) - Unknown owner - C:\Archivos de programa\Motorola\MotoHelper\MotoHelperService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

--
End of file - 12963 bytes


-.-.-.-.-.-.-.-.-

saludetes ....

[Master.Mind]

a. Para que no se siga infectando, vacuná la PC y todos los dispositivos de almacenamiento USB (pendrive,reproductor MP3/4/5, memoras de celular y cámara, etc.). Hacé lo que puedas, si es necesario vacuná los USB desde otra PC:

1) Bajá Panda Vaccine : http://www.pandasecurity.com/spain/h...ds/usbvaccine

2) Abrí el archivo que bajaste (USBVaccineSetup.exe) e instalá el programa Panda Vaccine.

3) Abrí el programa Panda Vaccine y vacuná tu máquina con la opción Computer Vaccination (nada de esto interfiere con el antivirus instalado en la PC).


b. El log muestra la presencia de un gusano (wrdrive32.exe) y una barra (toolbar) peligrosa que hay que eliminar, pero puede haber más ya que el log no tiene la capacidad de analizar todo. Resolvelo de esta forma:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Activá Mostrar todos los archivos y carpetas ocultos y las extensiones: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver:

- tildá donde dice Mostrar todos los archivos y carpetas ocultos,
- destildá Ocultar extensiones de archivo para tipo de archivo conocidos,
luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


3) Iniciá tu PC en Modo Seguro. Cuando tu PC arranca tenés que apretar F8 en forma sucesiva y te va a aparecer una pantalla negra con letras blancas: elegí la opción Modo Seguro. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar).


4) Desinstalá de forma tradicional Streaming Busca MP3 Toolbar desde Agregar y quitar programas. Luego eliminá desde el navegador lo que pueda haber quedado en las opciones.


5) Ejecutá HJT > Do scan only > tildá estas entradas para borrarlas con Fix checked:

C:\WINDOWS\wrdrive32.exe

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Archivos de programa\Streaming Busca MP3 Toolbar\tbhelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {B8FCDECB-05F4-43C2-8CA4-5FE83D98F9B3}8CA4-5FE83D98F9B3} - (no file)

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O23 - Service: getPlus(R) Helper - Unknown owner - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe (file missing)


6) Reiniciá en Modo normal.


c. Para quitar las restricciones (provisoriamente, porque no se eliminan hasta que se desinfecta por completo) del navegador y las que pueda haber sufrido Windows como consecuencia de la infección:

- bajá el RegUnlocker de ESTE ENLACE . Guardalo en tu PC y creá un acceso directo en el escritorio para tenerlo a mano.
- ejecutalo, tildá todas las opciones en las solapas A y B ; los puntos 1 , 2 , 4 , 5 , 6 y 7 de la solapa C ; los puntos 1 y 3 de la solapa D .
- hacé clik en Aplicar.

Nota: es probable que al querer bajarlo tu antivirus te lo reconozca como un virus (un falso positivo), entonces cerrá todos los programas menos el navegador para evitar infecciones, desactivá temporalmente tu antivirus (y antispyware de ser necesario) mientras bajás RegUnlocker y luego volvé a activarlo. Luego poné RegUnlocker en las excepciones de tu antivirus si es necesario.
Bajá el RegUnlocker : http://codehard.wordpress.com/regunlocker . Guardalo en tu PC y creá un acceso directo en el escritorio para tenerlo a mano.


Avisame cuando termines y hacemos un escaneo a fondo.

[arianza]

... jeje ... me imaginaba que no iba a ser tan fácil ... pondré manos a la obra con eso y cuando termine te aviso ... grax

[Master.Mind]

Te va a llevar 20 minutos. Me quedo acá hasta la 1:30hs.

[arianza]

Hola Master ... te cuento que hice lo que dijiste y todo bien. solo tuve un poco de problema para desinstalar el Streaming busca mp3 ese, pero lo desinstalé a lo bruto ... le borré la carpeta y después recorrí el registro con el CCleaner, le mandé limpiar y listo ..... santo remedio. sin embargo sigo teniendo el proceso wrdrive32.exe ... y sigo teniendo los 44 procesos de iexplorer y el cpu a 100% ... Te paso un nuevo resumen del hijack ...
Ah, antes de eso, en el registro encontré un archivo: shmgrate.exe ... según lo que encontré es un programito maléfico que captura datos del teclado, pero no estoy seguro que la info sea confiable .... tenés algún dato ???

Acá va el HJ

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:44:19 p.m., on 29/05/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda USB Vaccine\USBVaccine.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Atheros\ACU.exe
C:\WINDOWS\wrdrive32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Motorola\MotoHelper\MotoHelperService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Motorola\MotoHelper\MotoHelperAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elena\Escritorio\HijackThis.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elena\Datos de programa\14.exe
C:\Documents and Settings\Elena\Datos de programa\16.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www-google.com.ar/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buscamp3.tv
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.buscamp3.tv/results.php?q...ID:10&ie=UTF-8
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: TBSB07458 - {5B839A5A-753B-4CFA-9330-071FC5B60471} - (no file)
O2 - BHO: shARES - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\prxtbshA0.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\prxtbshA0.dll
O3 - Toolbar: (no name) - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe
O4 - HKCU\..\Run: [t2fcleaner] C:\Documents and Settings\Elena\Datos de programa\cache32.scr
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8 574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1217000438921
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio de configuración de Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MotoHelper Service (MotoHelper) - Unknown owner - C:\Archivos de programa\Motorola\MotoHelper\MotoHelperService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe


--
End of file - 12255 bytes

---------- Mensaje agregado a las 21:49 ---------- Mensaje anterior a las 21:48 ----------

también encontré algunos rastros de ARES ....

---------- Mensaje agregado a las 21:54 ---------- Mensaje anterior a las 21:49 ----------

ah, por cierto ... ese foro de infospyware ... parece bastante buena ...

[Master.Mind]

1) Es una lástima que desinstales a lo bruto ese tipo de programas. Ojalá me hubieras consultado y te decía que uses RevoUninstaller que es excelente.
En el log veo un archivo que se originó con la instalación de la barra Streaming Busca MP3 Toolbar , así que borra a mano:

C:\WINDOWS\system32\shdocvw.dll



2) El archivo wrdrive32.exe sigue apareciendo porque no hicimos un escaneo a fondo para desinfectar. Te dejo las instrucciones:

a. Instalá y actualizá Malwarebytes´ Antimalware Free (no instales la versión paga) : http://www.malwarebytes.org/mbam.php


b. Iniciá en Modo Seguro .


c. Hacé un escaneo Completo con el Malwarebytes . Al finalizar elegí Quitar lo seleccionado y guardá el informe. Si tenés problemas para borrar algún archivo, usá el FileAssasin que trae el Malwarebytes. No borres los cracks y keygen de los programas pirateados si tenés alguno.


d. Ejecutá HJT > Do scan only > tildá estas entradas para borrarlas con Fix checked:

C:\WINDOWS\wrdrive32.exe

O2 - BHO: TBSB07458 - {5B839A5A-753B-4CFA-9330-071FC5B60471} - (no file)

O3 - Toolbar: (no name) - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - (no file)

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe

O4 - HKCU\..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe

O9 - Extra button: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Streaming Busca MP3 Toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\WINDOWS\system32\shdocvw.dll


e. Reiniciá en Modo normal.


f. Hacé un escaneo on-line con Panda (http://www.activescan.com.ar). Guardá los resultados y borrá todo lo que te aparezca (si es necesario con el FileASSASSIN). Otra opción es ESET Online Scanner: http://www.eset-la.com/online-scanner ). En ambos casos se instala un pequeño programa que acelera el escaneo. Una vez finalizado, guardá el informe y eliminá lo que aparezca.


g. Pegá todos los resultados de los escaneos para analizarlos que van a aparecer más cosas que vuelven lenta a la máquina, y así darte las últimas instrucciones.