Buenas.

Me ha atacado el tipico virus que te salen supuestos programas de alerta de virus, te cambia el fondo de pantalla, etc..
Siguiendo algunos procedimientos como antivirus, antispyware, etc.. parece que he conseguido quitar parte pero aun quedan restos porque sigo sin poder poner el fondo de pantalla normal.
Os pego aqui el log, a ver que pasos sigo ahora:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:19:58, on 08/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Lexmark 5200 series\lxbtbmgr.exe
C:\Archivos de programa\Lexmark 5200 series\lxbtbmon.exe
C:\programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Archivos de programa\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdsjy.exe] C:\WINDOWS\system32\kdsjy.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\programas\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2956 bytes

Hola, te doy la bienvenida al Foro de InfoSpyware, sigue estos pasos:

Descarga, actualiza y ejecuta el programa:

• Malwarebyte’s AntiMalwares

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Aqui va el reporte. En principio ya se han conseguido eliminar la mayoria de los efectos del virus. Pero aun debe quedar algo porque aunque ya no aparece el fondo de pantalla propio del virus, tampoco puedo elegir el estilo visual del windows como yo quiero.

Gracias y un saludo.


ComboFix 08-08-08.01 - oscar 2008-08-09 16:18:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.112 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\oscar\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\oscar\Datos de programa\rhcjgkj0et87
C:\WINDOWS\system32\blphcngkj0et87.scr
C:\WINDOWS\system32\kdsjy.exe
C:\WINDOWS\system32\phcngkj0et87.bmp
C:\WINDOWS\system32\pphcngkj0et87.exe

.
(((((((((((((((((( Archivos creados desde 2008-07-09 - 2008-08-09 )))))))))))))))))))))))))))))))))
.

2008-08-09 01:24 . 2008-08-09 01:44 <DIR> d-------- C:\Archivos de programa\Amsn
2008-08-08 15:39 . 2008-08-08 15:40 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2008-08-08 00:11 . 2008-08-08 00:11 <DIR> d-------- C:\Documents and Settings\oscar\Datos de programa\SUPERAntiSpyware.com
2008-08-08 00:11 . 2008-08-08 00:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-08 00:11 . 2008-08-08 00:11 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-07 23:31 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-07 23:30 . 2008-08-07 23:30 <DIR> d-------- C:\Archivos de programa\Panda Security

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-07 19:56 --------- d-----w C:\Archivos de programa\Java
2008-07-29 17:12 --------- d-----w C:\Archivos de programa\Lx_cats
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Lexmark 5200 series"="C:\Archivos de programa\Lexmark 5200 series\lxbtbmgr.exe" [2004-06-04 12:05 57344]
"LXBTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X 86\3\LXBTtime.dll" [2004-03-17 18:30 65536]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 17:20 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2005-06-15 17:20 86016]
"C-Media Mixer"="Mixer.exe" [2002-07-12 17:33 1581056 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2005-06-15 17:20 1519616 C:\WINDOWS\system32\nwiz.exe]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\programas\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Programas\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboo t.sys [2008-06-19 17:24]
R3 GNCT511;Genius VideoCAM NB;C:\WINDOWS\system32\DRIVERS\gnct511.sys [2002-11-14 15:30]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\oscar\Datos de programa\Mozilla\Firefox\Profiles\xmgxwea7.default \


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-09 16:21:16
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lexmark 5200 Series\lxbtbmon.exe
C:\WINDOWS\system32\nvsvc32.exe
.
************************************************** ************************
.
Tiempo completado: 2008-08-09 16:23:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-09 14:23:07

Pre-Run: 8,766,889,984 bytes libres
Post-Run: 8,762,245,120 bytes libres

86

Para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Reinicia el sistema y coméntanos como está funcionando el sistema ahora.

Saludos

Gracias, parece que va todo bien. Lo unico que me he quedado el estilo visual propio del windows XP y tengo que quedarme con el 98. Supongo que el virus se habra cargado ese archivo, porque no me lo deja seleccionar en propiedades de pantalla.

Descarga la herramienta DelPSGuard.zip y ejecútala en Modo Seguro luego reinicia en Modo Normal y verifica los resultados.

Perdon, pensaba que este hilo ya quedó cerrado en su momento y me equivoqué. Por mi parte problema solucionado y se da por terminado.

(ahora tengo otro problema con otro PC pero eso será en otro topic)

Gracias.