Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Holas ^^ es mi primer post

Bueno... he leído sobre este virus por acá y la verdad es que las solucioens no me han funcionado

mucho... bajé el HijackThis pero como el foro estaba cerrado, no pude postear antes...
Leía soluciones y todas se remitían a los log de HijackThis, así que les dejaré el mío para que alguie nse

apiade de mí y me ayude =P

Formateé el PC hace algunos días y al instante me entraron virus... no tenía nada instalado y me costó

muchisimi poder entrar a windows update por que la cosa andaba lenta (por los virus supongo). Pero

cuando lo logré, me dice que mi clave de windows no es original y no puedo bajar actualizaciones (si no

lo tengo original... vale un ojo de la cara y soy pobre) así que lo intenté por las actualizacioens

automáticas y bajé las de seguridad pero no sé qué pasó ahora las actualizaciones se trancaron ya no

me salen más.
Instalé AVG antivirus y cada cierto rato me pilla el famoso Collected.5.L ... tomé algunas acciones con el

KillBox y mientras hacía un scaneo en kaspersky antivirus online, me sale esto:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, December 31, 2005 19:19:36
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 31/12/2005
Kaspersky Anti-Virus database records: 158226
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 24484
Number of viruses found: 6
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 2200 sec

Infected Object Name - Virus Name
C:\WINDOWS\system32\BIOSserv.exe Infected: Backdoor.Win32.Rbot.aln
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\msnchecker.exe Infected: Packed.Win32.CryptExe
C:\WINDOWS\system32\ndtad32.exe Infected: Backdoor.Win32.Rbot.gen
D:\J Pablo\DoCs\YOU ARE AN IDIOT javascript.txt Infected: Trojan.JS.Offiz
D:\J Pablo\My Received Files\miraesto[1].....exe Infected: not-virus:BadJoke.Win32.Pelotas

Scan process completed.

En fin.... me dejó de aparecer recurrentemente lo del collected tras borrar algo con el killbox (no

recuerdo >.<) pero me tiene asustado este otro virus.

¿Síntomas? Puras cosas raras:
- Siento que la conexión a Internet me anda lento.
- Al intentar abrir una ventana anexa a un programa para buscar dentro de Windows (por ejemplo, las

que se abren cuando uno pone "Guardar Como...") se me cuelga el programa y muere.
- El administrador de tareas de windows no me abre.
- La carpeta "Conexioens de Red" y las propiedades de mi conexión activa a Internet no me abren. (No

sucede nada)
- No me deja instalar programas (aunque he notado que tras reiniciar sí puedo hacerlo, pero intento

instalar otro sin haber reiniciado y se me cuelga al final de la instalación. Reinicio y puedo instalar)
- El HijackThis se me cuelga después del scaneo y no me guarda el log. (antes no me abría... y solo me

abria en modo a prueba de fallos). (Intenté denuevo solo scaneando y despues salvando el log, pero se

cuelga, no lo muestra.)

Espero que no les moleste que les ponga una imagen del HijackThis... es que no puedo guardarlo como

texto... disculpenme porfavor ^^

**Borrado**


De antemano muchas gracias ^^

Además, me he dado cuenta de que el archivo que se menciona a eliminar en post anteriores hace referencia al "ndt32.exe" y el que veo en mi log es el "ndtad32.exe" por lo tanto no sé si será válido eliminar...
Cabe decir de que no tengo ningún artefacto marca HP (Hewlett packard?) y no he instalado drivers de ese tipo.

Disculpen los múltiples post, pero la verdad me gustaría que me respondieran por que necesito el PC para hacer uans transferencias con tarjeta de crédito y es imprescindible que esté limpio... sino... supongo que me arriesgaré a darle fix checked al ntad32.exe y a lo que encuentre sospechoso ... >.<

De antemano muchas gracias.

Hola... escribo esto por tercera vez ya que la primera me movieron el post y quedó botado y la segunda el post mio desapareció despues de que nadie lo respondió y no sé dónde está...

Sé que tengo el virus collected por que me lo muestra mi AVG Antivirus, y al parecer tengo más virus cada día que pasa, por que no tengo SP2 ya que cuando formateé el PC, inmediatamente me entró algo y tuve problemas, además de no poder usar la interface de Windows Update por que mi clave de Windows está bloqueada por no ser original (soy pobre no tengo dinero para gastar en un ridículo SO) aunque despues pude bajar las actualziaciones de seguridad con Actualizaciones Automáticas.

Logfile of HijackThis v1.99.1
Scan saved at 18:42:21, on 04-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BIOS Net Service] BIOSserv.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [System Loader] WANXGUARD.EXE
O4 - HKLM\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKLM\..\RunServices: [BIOS Net Service] BIOSserv.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKLM\..\RunServices: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BIOS Net Service] BIOSserv.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\RunOnce: [System Loader] WANXGUARD.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135919933539
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C698945-FCFA-4555-8582-8AF9B2CE178E}: NameServer = 200.28.4.129 200.28.4.130
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe


Anteriormente hice este procedimiento:
*Apagué restaurar sistema
*Inicié en modo seguro
*Borré el ntad32.exe y el msnchecker.exe con Killbox
*Le di "Fix Checked" a estas entradas con HijackThis:
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKLM\..\RunServices: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [HP Service Driver] ndtad32.exe
*Pasé el Ad-Aware y el AVG antivirus.
*Pasé RegSeeker hasta que no quedó nada.
*Pasé Disk Cleaner para borrar Temporales del sistema y de Internet, y otras cosas más.

Reinicio, y me vuelve a aparecer.

También sospecho de estas entradas:
O4 - HKLM\..\Run: [System Loader] WANXGUARD.EXE
O4 - HKCU\..\RunOnce: [System Loader] WANXGUARD.EXE

Tengo mi log de kaspersky!! miren:

File Name Virus Name Send

C:\Documents an...EB\wanxguard[1].exe Packed.Win32.CryptExe send

C:\WINDOWS\system32\BIOSserv.exe Backdoor.Win32.Rbot.aln send

C:\WINDOWS\system32\dfas.exe Packed.Win32.CryptExe send

C:\WINDOWS\system32\download.dat Trojan-Down...der.BAT.Ftp.ab send

C:\WINDOWS\system32\i Trojan-Down...der.BAT.Ftp.ab send

C:\WINDOWS\system32\msnchecker.exe Packed.Win32.CryptExe send

C:\WINDOWS\system32\wanguard.exe Packed.Win32.CryptExe send

C:\WINDOWS\system32\wanxguard.exe Packed.Win32.CryptExe send

D:\J Pablo\DoCs...DIOT javascript.txt Trojan.JS.Offiz send

D:\J Pablo\My R...miraesto[1].....exe not-virus:B....Win32.Pelotas

Porfavor ayudenme rápido! antes no tenía todos esos y siento que la cosa empeora!! ... estoy desesperado >.< no sé qué hacer..... ahora mis sospechas del wanxguard se hicieron ciertas (recien pude al fin, sacar lo del kaspersky!)....

Hola ankgel, hay una palabra que nosotros apreciamos muchísimo paciencia lee las Políticas del Foro

Nosotros contestamos los temas que tienen 0 respuestas, pero veo que este tema ya tiene 5 respuestas, por lo que pensaremos que este tema ya está siendo atendido.

Sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [BIOS Net Service] BIOSserv.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [System Loader] WANXGUARD.EXE
O4 - HKLM\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKLM\..\RunServices: [BIOS Net Service] BIOSserv.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKLM\..\RunServices: [HP Service Driver] ndtad32.exe

O4 - HKCU\..\Run: [BIOS Net Service] BIOSserv.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [HP Service Driver] ndtad32.exe
O4 - HKCU\..\RunOnce: [System Loader] WANXGUARD.EXE

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

BIOSserv.exe
msnchecker.exe
WANXGUARD.EXE
ndtad32.exe

6.- Pasa el Disk Cleaner para limpiar cookies y temporales

7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

8.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

9.- Reinicia la maquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos