Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola, tengo un virus y un troyano del tipo w32 que no me permite actualizar el antivirus, y no me sale en el escaneado. Se que es un virus porque infecto mi mp3 y cuando lo conecte al ordenardor de mi trabajo, el antivirus lo detectó y lo elimino. eran un virus gusano W32/Perlovga no me acuerdo bien y un troyano. El antivirus de mi trabajo es el mcafee activeScan.

este es parte del informe del scan que hizo:

04/03/2008 15:05:57 Análisis iniciado CGARRIDO\acastillo Análisis Bajo demanda
04/03/2008 15:05:59 No se ha realizado ninguna acción f:\host.exe W32/Perlovga(Virus)
04/03/2008 15:06:08 No se ha realizado ninguna acción f:\RECYCLER\RECYCLER\autorun.exe BackDoor-CKB(Troyano)


mi antivirus es el norton aunque ahora instale el bitdefender porque me lo recomendaron. Sin embargo ninguno ve nada.
mi sistema es windows xp home edition.

norton me habia informado de unos archivos de extensión .txt que estaban en cuarentena por estar infectados, pero no me decia de que tipo, solo que eran de bajo perfil por lo que no me preocupe. Sin embargo, el virus ha pasado a la portatil de mi hermana que tiene el windows vista. Ella tenia instalado el nod32 pero lo quito para poner kapersky y al instalarlo se dio cuenta del problema. ahora ha instalado bitdefender tambien pero es igual. que se puede hacer en este caso? Te permite instalar el antivirus pero no actualizarlo y he intentado escanear el sistema en modo a prueba de fallos y no hace nada.

quiero poner mi log por si acaso ustedes pueden ver algo porque no se mucho de esto.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:08:50, on 05/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\carpserv.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\cliente\CONFIG~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164047316613
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190659948892
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://maryemchita.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6441 bytes


este es el de la laptop de mi hermana

**Log Borrado**

Hola, te doy la bienvenida al Foro de InfoSpyware, solo analizamos un caso a la vez motivo por el cual he eliminado el segundo log, sigue estos pasos:

Descarga, actualiza y ejecuta el programa:

• SUPERAntiSpyware

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

este es el resultado de combofix. parece que no hay nada, estará ya solucionado?

ComboFix 08-03-05.1 - cliente 2008-03-06 11:08:48.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.239 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\cliente\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-02-06 - 2008-03-06 )))))))))))))))))))))))))))))))))
.

2008-03-06 03:24 . 2008-03-06 03:24 <DIR> d-------- C:\Documents and Settings\cliente\Datos de programa\SUPERAntiSpyware.com
2008-03-06 03:24 . 2008-03-06 03:24 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2008-03-06 03:24 . 2008-03-06 03:24 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-03-05 23:32 . 2008-03-05 23:32 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-03-05 02:44 . 2006-11-20 13:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2008-03-05 02:08 . 2008-03-05 02:08 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-03-05 01:55 . 2008-03-05 01:55 <DIR> d-------- C:\WINDOWS\system32\bits
2008-03-05 01:54 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-03-05 01:54 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-03-05 01:00 . 2008-03-05 01:00 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\TEMP
2008-03-05 00:44 . 2008-03-06 00:19 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-03-05 00:38 . 2008-03-05 00:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\BitDefender
2008-03-05 00:37 . 2008-03-05 00:37 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Softwin

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-11 22:34 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-12-11 22:34 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-12-07 14:36 3,080,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 13:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2007-05-10 09:29 145 ----a-w C:\Archivos de programa\Acceso directo a Unidad de CD.lnk
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 13:42 15360]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"CARPService"="carpserv.exe" [2003-03-19 14:00 4608 C:\WINDOWS\system32\carpserv.exe]
"vptray"="C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe " [2003-05-21 01:21 90112]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 13:42 15360]

C:\DOCUME~1\ALLUSE~1\MENéIN~1\PROGRA~1\Inicio\
Adobe Reader Speed Launch.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\WINDOWS\\System32\\rtcshare.exe"=

R3 LSWPCv4;Wireless-B Notebook Adapter Driver;C:\WINDOWS\system32\DRIVERS\rtl8180.sys [2003-10-01 10:54]
S3 BWNDIS5;BWNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\BWNDIS5.SYS []
S3 DLKRCB;D-Link DFE-690TXD CardBus PC Card;C:\WINDOWS\system32\DRIVERS\DLKRCB.SYS [2001-10-15 13:38]
S3 SetupSys;Conexant Setup API;C:\WINDOWS\system32\drivers\SetupSys.sys [2001-01-09 09:58]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 1129
Windows 5.1.2600 Service Pack 2 FAT NTAPI

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
-> C:\WINDOWS\system32\NavLogon.dll
.
Tiempo completado: 2008-03-06 11:11:17
.
2008-03-05 21:57:38 --- E O F ---

Efectivamente, no hay infecciones, coméntanos como está funcionando el sistema ahora.

Saludos

Pues pareciera que marcha bien. Instalare otro antivirus a ver si puedo actualizarlo.

Gracias por todo y ya les aviso si tengo algun problemilla.

Bien, para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Saludos