Me jode ese virus

1) Decime que SO operativo tenés.

2) Decime que protección tenés: antivirus, antispyware y firewall.

3) Bajá el HijackThis. Luego reiniciá tu PC, no abras ni cierres ningún proceso o programa, ejecutá el HijackThis, elegí Do a system scan only, guardá el log que se genera y pegalo acá.

Saludos!

1) XP

2) Avast, Ad-Aware, ¿firewall?

3) Lo haré

Gracias.

instala el avira y hacele un escaneo completo

walterbe:

Por favor, seguí mis instrucciones y no instales nada en tu PC si está infectada hasta hacer un diagnóstico.

Saludos!

Bueno Master, lo haré el lunes o martes, ya que la pc es de mi trabajo.

Gracias.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:43:54 a.m., on 09/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT1854633
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.1.0.27:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll
O3 - Toolbar: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [L08EXLRD_15028406] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\BIBLIO~1\CONFIG~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1249489622250
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1ca1156a9e5cdb0) (gupdate1ca1156a9e5cdb0) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
O24 - Desktop Component 0: (no name) - http://www.oni.escuelas.edu.ar/olimp...en/tobas.1.jpg

--
End of file - 5846 bytes

ese es un virus de pen drive, el cual el avast te lo bloquea y borra pero no lo elimina.

seguramente tenes un mp3 o mp4 o un pen drive infectado, aparte de la pc... yo instalaria el avira, con todos los dispositivos usb enchufados y haria un escaneo completo.

Te pido que no instales ni desinstales nada más de lo que abajo se indica, y que menciones paso por paso lo que pudiste hacer y si te encontraste con algún problema. Esto es muy importante para hacer un correcto diagnóstico y desinfección.


a. Para evitar otra infección te recomiendo informarte respecto a las conductas al usar Internet como indico acá: ¿Cómo protejo mi PC? .


b. No veo un firewall. Si estás detrás un router, no hagas nada más que configurarlo correctamente para protegerte de ataques. Si usás el de Windows, que es malo, instalá y configurá correctamente el Zone Alarm como indico acá: ¿Cómo protejo mi PC? .


c. Te recomiendo no usar pendrives o reproductores de MP3 porque la mayoría están infectados y preparados para infectar al momento de conectarse. Deshabilitá la reproducción automática en Windows, desinfectá los medios removibles (suele ser complicado a veces) y luego protegelos con el Panda USB Vaccine ( http://www.pandasecurity.com/spain/h...ads/usbvaccine). Mirá este tema para informarte al respecto: Virus en el Pendrive .


d. Bajá estos programas:

- FileASSASSIN: http://fileassassin.softonic.com/descargar o http://fileassassin.uptodown.com
- CCleaner: http://www.ccleaner.com (para que sepas cómo usarlo: Manual del CCleaner )


e. Imprimí estas instrucciones, seguilas al pie de la letra y guardá todos los resultados. No te preocupes que son instrucciones muy simples y nada de lo que hagas puede perjudicar a tu PC. Te pido que me indiques si no pudiste seguir con algún paso:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 3):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Aceptar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


3) Activá Mostrar todos los archivos y carpetas ocultos y las extensiones: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver:

- tildá donde dice Mostrar todos los archivos y carpetas ocultos,
- destildá Ocultar extensiones de archivo para tipo de archivo conocidos,
luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


4) No abras ningún programa hasta terminar.


5) Borrá estas entradas perdidas con Fix checked del HJT:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)


6) Estas entradas pueden ser peligrosas, sobre todo las que te marco en azul. Si no te resultan confiables los directorios, archivos o sitios a los que hacen referencia, borralas con Fix checked del HJT:

O24 - Desktop Component 0: (no name) - http://www.oni.escuelas.edu.ar/olimp...en/tobas.1.jpg


7) Borrá estas entradas dudosas o peligrosas con Fix checked del HJT:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT1854633
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\BIBLIO~1\CONFIG~1\Temp\herss.exe


8) Limpiá primero temporales y luego el registro con el CCleaner siguiendo las instrucciones del manual que te dejé. Fijate que por defecto están tildadas opciones que quizás no quieras borrar.


9) Hacé un escaneo con el Ad-Aware. Guardá los resultados y borrá todo lo que te aparezca.


10) Hacé un escaneo on-line con Panda (http://www.activescan.com.ar). Guardá los resultados y borrá todo lo que te aparezca (si es necesario con el FileASSASSIN). Otras opciones: Kaspersky ( http://www.kaspersky.com/sp/virusscanner ) o ESET Online Scanner (http://www.eset-la.com/online-scanner). Si tenés algún problema con esto, usá la opción de escaneo de tu Avast que reinicia la PC y escanea antes de cargar Windows.


11) Reiniciá, generá un nuevo log con todo cerrado, posteá todos los resultados donde aparecieron infecciones y contanos si hubo mejoras.


Saludos!

Quiero ir por pasos, primero quiero saber cómo se deshabilita la reprodución automática de Windows.

Pienso que eso es lo primero que quiero hacer.