Hola a todos. Acabo de conocer este foro buscando ayuda en la web para poder sacar este virus? q tengo en mi tarro, hace ya mas de una semana.
Tengo el Symantec Antivirus actualizado, el cual supuestamente borra los archivos infectados, pero al cabo de unos minutos vuelven a aparecer...
Igual estuve leyendo el foro y vi q la mayoría prefiere el NOD32 asi q me lo estoi "consiguiendo"...

Como info extra en cada disco duro me crea un archivo autorun.inf q contiene lo sgte:
[autorun]
open=install.exe

y en el disco c me ha creado varios archivos q se llaman msncheckeX.
Donde X es un número como 1,2,3, etc...

Bueno, pongo el log del Hijackthis y escucho sus comentarios.
De antemano muchas gracias.

Logfile of HijackThis v1.99.1
Scan saved at 14:38:17, on 14-12-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
*Borrado*

Configura el sistema para ver todos los archivos ocultos (http://www.forospyware.com/46-post3.html)

Dinos cuantos Autorun.inf ves en C:\, en todo caso colócalo acá para revisarlo bien


Realiza un scan online (http://www.forospyware.com/foro-de-virus-y-troyanos/announcements.html) con cualquiera de los que allí se proponen, preferiblemente, ejecuta dos distintos a ver que te detectan




Salu2

hize lo q me dijiste.
Solo hay un archivo autorun.inf en c:, y otro en d: (q son mis 2 HDD)

Corrí el Kaspersky online y me dio este log:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, December 14, 2005 23:11:06
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 15/12/2005
Kaspersky Anti-Virus database records: 155235
-------------------------------------------------------------------------------
Infected Object Name - Virus Name
C:\WINDOWS\ServicePackFiles\i386\upnpcont.exe Suspicious: Type_Win32
C:\msnchecke0.exe Infected: Packed.Win32.CryptExe
C:\msnchecke1.exe Infected: Packed.Win32.CryptExe
C:\msnchecke6.exe Infected: Packed.Win32.CryptExe
C:\msnchecke2.exe Infected: Packed.Win32.CryptExe
C:\msnchecke7.exe Infected: Packed.Win32.CryptExe
C:\msnchecke8.exe Infected: Packed.Win32.CryptExe
C:\msnchecke4.exe Infected: Packed.Win32.CryptExe
C:\msnchecke5.exe Infected: Packed.Win32.CryptExe
C:\msnchecke3.exe Infected: Packed.Win32.CryptExe
C:\msnchecke9.exe Infected: Packed.Win32.CryptExe

y el panda online, q entrego esto:
Incidencia Estado Elemento

Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke0.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke1.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke6.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke2.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke7.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke8.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke4.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke5.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke3.exe
Virus:W32/Sdbot.FRQ.worm Desinfectado C:\msnchecke9.exe

Después de ese escaneo me pareció q se había eliminado el virus. Desintalé el Symantec e instalé el NOD32.
Pero al día siguiente volvió a aparecer el virus y NOD32 no se las puede...
Q hago ahora?

Este archivo: "C:\WINDOWS\ServicePackFiles\i386\upnpcont.exe Suspicious: Type_Win32" es un falso positivo del Kaspersky, es un archivo legítimo (http://support.microsoft.com/default.aspx?scid=kb;es-es;323713)

Para el resto te recomiendo lo siguiente:

- Descarga el Killbox (http://www.forospyware.com/49-post6.html)

- Apaga restaurar sistema (http://www.forospyware.com/45-post2.html)

- Configura el sistema para ver todos los archivos ocultos (http://www.forospyware.com/46-post3.html)

- Reinicia el sistema en modo a prueba de fallos (modo seguro) (http://www.forospyware.com/47-post4.html)

Utiliza el killbox para eliminar cada archivo, es decir, elimina uno a la vez

Haces un nuevo chequeo y nos cuentas




Salu2

no puedo eliminar ninguno de esos archivos, porq ya no están...
tampoco están ocultos.

Pero aun asi se vuelven a crear los archivos autorun.inf y cuando intentan lanzar el install.exe el nod32 lo detecta y elimina.
Pero pasado un rato vuelve a suceder lo mismo...

>.<

El sistema operativo está en C:\ o en D:\?

Sabes la ubicación a la que apunta el autorun.inf sobre el install.exe?


Si es así, usa dicha ubicación para eliminar el install.exe


Si el SO está en C:\ entonces el autorun.inf que se encuentra en D:\ es inservible, así que lo puedes borrar



Salu2

me explico...
->el SO está en c:
-> el autorun.inf apunta a la misma carpeta donde está él. Esto es, uno apunta a c: y el otro a d:
-> No puedo borrar el archivo install.exe al q apunta el auntorun.inf pues apenas es creado, el antivirus lo detecta y elimina.
-> Siempre borro los auntorun.inf

El problema es q siempre vuelven a aparecer!
y cada vez q aparece se pone lento el tarro y lanza el warning del antivirus. No es una situación crítica pero si muy molesta...

Coloca acá cada uno de los autorun.inf que tienes en el PC, indicando cual está en C:\ y cual en D:\

Ejecuta el programa Mwav.exe (http://www.mwti.net/download/tools/mwav.exe), el log que genera esta herramienta es bastante largo, así que sólo copia acá las que reconozca como infectadas




Salu2

Acá subí los 2 archivos a un FTP.
El primero es el log del programita q me diste...
(igual le borré hartas cosas, pesaba 9,4mb)
http://sce.dis.ufro.cl/~gapab001/MWAV.LOG


El 2do archivo es el autorun.inf q es el MISMO en c: y d:
no te preocupes q ese no tiene virus...
http://sce.dis.ufro.cl/~gapab001/autorun.inf

Gracias por todo.

Según el Mwav tienes las siguientes infecciones:

C:\WINDOWS\ServicePackFiles\i386\upnpcont.exe

HKLM\Software\gnu

C:\WINDOWS\TEMP\archivos temporales de internet\content.ie5\v6r58lxa\show_ads[2].js

C:\Documents and Settings\Gerson\Configuración local\temp\insthelp.dll

C:\Documents and Settings\Gerson\Configuración local\archivos temporales de internet\content.ie5\bwcgf4i4\show_ads[2].js

C:\Documents and Settings\Gerson\Configuración local\archivos temporales de internet\content.ie5\2ncbsx45\blank[1].htm


Esto es lo que harás:

Sube éste archivo: upnpcont.exe a la página de VirusTotal (http://www.virustotal.com/) y cuéntanos que dice el reporte

Ve a Inicio > Ejecutar escribe: regedit y busca la siguiente clave:HKEY_LOCAL_MACHINE\Software borra de allí la clave gnu


Apaga restaurar sistema (http://www.forospyware.com/45-post2.html)

Reinicia el sistema en modo a prueba de fallos (modo seguro) (http://www.forospyware.com/47-post4.html)

Utiliza el para el Disk Cleaner para limpiar los temporales de Windows y los de Internet

Para los que no se dejen eliminar usa el Killbox

El killbox úsalo también para eliminar el Autorun.inf que tiene la opción del Install.exe

Limpia el registro con el Regseeker



Salu2

Aca pongo ss del regedit al cual no le pude borrar nada poq no pille esa clave...
y del reporte de la página.
Hice todo lo demás q me dijiste, e inclui un nuevo scaneo completo con el antivirus...

http://sce.dis.ufro.cl/~gapab001/regedit.JPG
http://sce.dis.ufro.cl/~gapab001/reporte.JPG

En la primera imagen pareciera que estuvieras buscando la clave GNU dentro de HKEY_LOCAL_MACHINE, ahora bien esa clave GNU debe estar dentro de la clave SOFTWARE que está en HKEY_LOCAL_MACHINE

Abre HKEY_LOCAL_MACHINE, abre SOFTWARE y verifica con calma si está dicha clave, sino es así, no hay problema



Sobre el otro archivo esto es lo que vamos a hacer:

Apaga restaurar sistema (http://www.forospyware.com/45-post2.html)

Utiliza los scaners online de kaspersky y panda (http://www.forospyware.com/foro-de-virus-y-troyanos/announcements.html) para hacer la limpieza


Nos cuentas los resultados




Salu2