Como eliminar virus transmitido x el messenger? - HispaZone: Comunidad de Hardware y Overclocking

carlini

Hola... ojala me puedan ayudar con este problema, ayer mientras estaba conectado recibido un archivo .exe de un contacto y despues d ejecutarlo empeze automaticamente a reenviarlo a todos mis contactos sin poder controlarlo!!!!!! Al darme cuenta de lo q se trataba elimine el archivo pero ahora no puedo entrar mas a mi antivirus (Symantec Corporativo) y tampoco usar paginas de buscadores por q el virus cierra mis ventanas, ademas de ciertas carpetas que me bloquea... POR FAVOR Si me pueden facilitar la solucion, estare muy agradecido. GRACIAS.

**Drazhaz**

Pues deberías saber que NUNCA hay que abrir un ejecutable recibido por internet (asi tan a la ligera), y al contacto que te lo ha pasado ya le puedes dar un tirón de orejas.

Bien, al grano.
Descarga este programa: http://www.merijn.org/files/hijackthis.zip
Lo descomprimes en una carpeta para el solo, lo ejecutas y apretas en Do a system scan and save a log file. Cuando se abra el bloc de notas con el texto, lo copias y lo pegas aquí para que lo analice.

Saludos.

karliña · *Úlima edición por karliña fecha: 15/11/2006 a las 20:31:33.*

hola quiero pedirte un favor mi me paso eso de los virus y e seguido tus pasos con ese programa, lo que pas es qtaba chateando cuanod mi amiga mando eso y por error le hice click estaba en zip, bueno en fin se infecto en mi makina y ahora nose como sacarlo lo estoy mandando a todos mis contactos

**Drazhaz**

Sigue los pasos que dije, es decir:

Cita:

Originalmente Escrito por Drazhaz

Descarga este programa: http://www.merijn.org/files/hijackthis.zip
Lo descomprimes en una carpeta para el solo, lo ejecutas y apretas en Do a system scan and save a log file. Cuando se abra el bloc de notas con el texto, lo copias y lo pegas aquí para que lo analice.

Eso mismo, si no me dejas el log aquí va a ser difícil que lo vea (todavía no tengo bola de cristal).

new_bie2k

Para que no vuelva a ocurrir por que ese tipo de gusanos son diferentes; los messenger se reenvian con el siguiente formato usuario1@hotmail.com;usuario2@hotmail.com;usuario3@hotmail.com siendo el ";", el nexo entre dos direcciones diferentes pues bien si una direccion no la encuentra no sigue el programa es decir pon un usuario llamado por ejemplo aaa000@hotmail.com en tu lista de contactos lo creas y te agregas de tal forma que cuando encuentre esa direccion no se reenvie a las restantes.

Liadon

Bueno aver si me alludais k man exo la misma jugarreta... ya me bajado el programita y ma salio en el bloc de notas un monton de cosas pero k ago aora??
es k no entiendo nada ayudenme porfavor

Gracias

ANADEL

Cita:

Originalmente Escrito por Drazhaz

Sigue los pasos que dije, es decir:

Eso mismo, si no me dejas el log aquí va a ser difícil que lo vea (todavía no tengo bola de cristal).

Logfile of HijackThis v1.99.1
Scan saved at 2:17:12, on 20/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Lexmark P910 Series\lxbymon.exe
C:\Archivos de programa\Lexmark P910 Series\ezprint.exe
C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\sp2.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Nuria\Nuria.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\lxbycoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\CARLOS\Mis documentos\Nueva carpeta\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.3558 \swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Conceptronic CHATCAM2 webcam
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbymon.exe] "C:\Archivos de programa\Lexmark P910 Series\lxbymon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Archivos de programa\Lexmark P910 Series\ezprint.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WindowsSp2] C:\WINDOWS\System32\sp2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
O4 - HKCU\..\Run: [Nuria] C:\Archivos de programa\Nuria\Nuria.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Bloquear esta ventana - C:\Archivos de programa\fspex\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Filtro web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra 'Tools' menuitem: Filtro web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra 'Tools' menuitem: &Suspender el filtro web - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra 'Tools' menuitem: &Denegar este sitio web - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra 'Tools' menuitem: &Autorizar este sitio web - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Archivos de programa\fspex\FSPC\fspcmsie.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Archivos de programa\fspex\Anti-Spyware\ieshield.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Archivos de programa\fspex\Anti-Spyware\ieshield.dll (file missing)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1146521288023
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrackMania Original Drivers Auto Removal (pr2ajcyb) (pr2ajcyb) - NADEO - C:\WINDOWS\system32\pr2ajcyb.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
AYUDA!!!!!!!!!!!!!!!!!!!!!!!

**Drazhaz**

Para empezar, analiza el sistema siguiendo estas recomendaciones.

Cuando lo hagas nos comentas aquí mismo los resultados.

Saludos.

nando · *Úlima edición por nando fecha: 02/06/2007 a las 10:22:19.*

tu problema parece el spoolsv.exe aqui tienes informacion sobre el http://www.enciclopediavirus.com/vir...rus.php?id=501
para empezar yo quitaria el proceso en ejecucion dandole a ctr alt supr despues intentaria borrar el archivo de su ubicacion que es system32 quitaria la opcion restaurar el sistema ademas de quitar todo rastro de le del registro del sistema y reiniciaria de todas formas te he de decir que algunos de estos troyanos no se pueden borrar sino es al inicio porque utilizan tecnicas de rootkings para volver a crearse suerte

ANADEL

[quote=nando;46753]tu problema parece el spoolsv.exe aqui tienes informacion sobre el http://www.enciclopediavirus.com/vir...rus.php?id=501
para empezar yo quitaria el proceso en ejecucion dandole a ctr alt supr despues intentaria borrar el archivo de su ubicacion que es system32 quitaria la opcion restaurar el sistema ademas de quitar todo rastro de le del registro del sistema y reiniciaria de todas formas te he de decir que algunos de estos troyanos no se pueden borrar sino es al inicio porque utilizan tecnicas de rootkings para volver a crearse suerte [/quote

graciassssss!!!!!!!!!
por fin consegui quitarlo.funciona!!!!!!!!!!!!!!!

Liadon HZ Aprendiz Fecha de Registro: martes, 21 de noviembre del 2006 Edad: 21 Mensajes: 1	Re: Como eliminar virus transmitido x el messenger? Bueno aver si me alludais k man exo la misma jugarreta... ya me bajado el programita y ma salio en el bloc de notas un monton de cosas pero k ago aora?? es k no entiendo nada ayudenme porfavor Gracias

Usuarios activos actualmente viendo este tema: 1 (0 miembros y 1 visitantes)