Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, siempre veo sus temas y siempre me han servidor queria comunicarles que creo que estoy infectado
Sintomas:

• Aveces cuando dejo mi computadora prendida, ya sea para ver peliculas (en mi computadora) o porque no estoy, el avira me salta con un mensaje diciendo de un virus que se encuentra en C.\System Volume Information.
• Ahora el avira me aparece en la bandeja como desactivado, cuando lo intento activar me sale error (Imagen mas abajo)
• Mi USB me aparece con un Autorun.inf que antes el avira me detectaba coo virus y lo eliminaba (lo que arrancaba), pero ahora como ya no abre ya no lo detecta.

Captura:



Log de HiJackThis:

Uso la ultima version de HijackThis (2.0.2)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:11, on 04/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\TEMP\VRT3.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\A.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sopidkc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
F:\Herramientas\Portables\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: S&end to OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Linked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Linked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5911 bytes


Notas:
Escanie el log por la web del HiJackThis y me alerto sobre un proceso llamado 39.tmp que a mi tambien me parecia raro.

Corri el Malwarebytes Anti-Malware 1.37 (escaneo rapido)
Aqui les dejo el informe:


Malwarebytes' Anti-Malware 1.37
Versión de la Base de Datos: 2230
Windows 5.1.2600 Service Pack 3

04/06/2009 18:17:38
mbam-log-2009-06-04 (18-17-38).txt

Tipo de examen : Examen Rápido
Objetos examinados: 93114
Tiempo transcurrido: 1 minute(s), 57 second(s)

Procesos en Memoria Infectados: 3
Módulos en Memoria Infectados: 2
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 3
Carpetas Infectadas: 3
Ficheros Infectados: 57

Procesos en Memoria Infectados:
C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\sopidkc.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\system32\3361\SVCHOST.EXE (Trojan.Agent) -> Unloaded process successfully.

Módulos en Memoria Infectados:
c:\WINDOWS\system32\6to4v32.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\system32\msncache.dll (Backdoor.Bot) -> Delete on reboot.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6 to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\6to4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m sncache (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\msncache (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s ndintd (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sndintd (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sopidkc (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s opidkc (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1 (Rogue.Loaris) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Loaris (Rogue.Loaris) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Archivos de programa\Loaris Trojan Remover (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\logs (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\updates (Rogue.Loaris) -> Quarantined and deleted successfully.

Ficheros Infectados:
c:\WINDOWS\system32\6to4v32.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\system32\msncache.dll (Backdoor.Bot) -> Delete on reboot.
c:\WINDOWS\system32\sndintd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\drivers\protect.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\jeathrkjaeharbwnwnrnwvb38.log (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\jeathrkjaeharbwnwnrnwvb44.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\jeathrkjaeharbwnwnrnwvb48.exe (Trojan.Banker) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\acprotect.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\activex.a (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\amd.c (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\armadillo.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\ascrypt.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\aspack.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\aspr.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\bho.a (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\execrypt.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\heur.b (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\hjt1.com (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\ieb.a (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\md.c (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\mew.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\mslrh.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\npack.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\pk.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\ps.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\psign.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\rlpack.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\service.a (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\smd.c (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\startup.a (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\trojanremover.chm (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\TrojanRemover.exe (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\unins000.dat (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\unins000.exe (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\upack.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\upx.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\vs.c (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\wl.c (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\xpack.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\yoda.z (Rogue.Loaris) -> Quarantined and deleted successfully.
c:\archivos de programa\loaris trojan remover\logs\scan-2009-05-31 [09-17-35].log (Rogue.Loaris) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3361\SVCHOST.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sopidkc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpszxyd.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpsaxyd.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wtukd32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\certstore.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dncyool32.sys (Trojan.Backdoor) -> Quarantined and deleted successfully.


Espero que me ayuden a resolver mi problema, muchas gracias de antemano

Hola, te doy la bienvenida al Foro de InfoSpyware, sigue estos pasos:

Descarga y ejecuta la herramienta FixBagle y pegas su reporte

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Gracias por responder mi pregunta.
Y gracias por las bienvenidas.

Segui los pasos que me dijistes pero al descargar fixbagle, y querer abrirlo, no me deja. Le doy 2ble click y no pasa nada.

Despues quise correr el combofix y quedo cargando y despues aparecio un error.

No me abre el antivirus, ni el malware antibytes.

Gracias por responder a mi pregunta ya que estaba desesperado porque nadie lo hacia.

Intenta, siguendo los pasos en Modo Seguro

no me funciona tampoco en modo seguro, estoy asustado, no quiero formatear...

Descarga y ejecuta la herramienta Dr. Web CureiT, pegas su reporte y luego sigues los pasos de mi anterior mensaje.

ya paso todo, Gracias GPastor, ahora si esta normal.
Pueden cerrar el tema