Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Para lo del primer paso me ponia esto:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrador>Sc Stop "CiSvc"
[SC] OpenService FAILED 1060:

El servicio especificado no existe como servicio instalado.


C:\Documents and Settings\Administrador>


Lo mismo para el otro comando... Hice el segundo paso y aca posteo el log, no te puedo decir si esto soluciona el tema, pero si me paso que cuando reinicie windows me aparecio el centro de seguridad de windows (el escudito roko) que yo le habia desactivado las notificaciones y tambien cuando reinicie el mozilla me abrio una ventana agradeciendo la actualizacion, no se si tiene algo que ver, pero lo comento por las dudas...
Ya te voy a avisar si salta de nuevo alguna alerta porque suele tardar un buen rato en aparecer el bicho (un dia mas o menos)...



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:57, on 06/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe
C:\Archivos de programa\BisonCam\BisonHK.exe
C:\Archivos de programa\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\DAEMON Tools Lite\daemon.exe
C:\Archivos de programa\HotKey_Driver\HotKeyDriver.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\ARCHIV~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SynTPStart] C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [BisonHK] C:\Archivos de programa\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BDRegion] C:\Archivos de programa\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: HotKeyDriver.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256449634609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256604854359
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 7650 bytes

Ok espero tu respuesta.

Una pregunta ¿ tu antivirus es original o es piratilla?

¿Y que antivirus tienes en tu pc instalado?

tengo el nod32 v4.0.3 (), sin crack, con la ultima base de firmas... lo actualizo a diario

en realidad si me fijo bien lo unico trucho son las claves (usuario y contraseña)

no me reten plis

No te preocupes que no te retamos.

Una cosa es recomendar la piratería en el foro y otra es que tu la utilices a tu antojo, mientasr no re comiendas nada en el foro no pasa nada.

Bueno la pregunta benia por que si esta pirateado es antivirus , puede ser que no de el mismo efecto que uno original.

Ya nos comentas como sigue todo

y si decides cambiar de antivirus, puedes probar con Avira, kaspersky o Panda tiene 30 dias de prueba.

Antivirus

ok... el bicho no se fue sigue molestando

alguna otra idea???

Pues si que esta duro el bicho ese

Si no te importa, dame tiempo, lo consulto con los compañeros de staff para ver, si se me escapa algo a mis ojos

saludos

Hola.

Te voy hacer una serie de preguntas para ver donde puede estar el problema.

1. Esta descargando de programas P2P?¿?¿
2. Su Windows es desatendido?¿?¿
3. Lo que le detecta, Nod es lo mismo o son diferentes archivos.?¿?¿
4. La ruta que le detecta Nod 32 no sera esta: C:\System Volume Information\_restore?¿?¿
5. Esta conectando, medios extraibles a su Pc pendrive, discos externos....etc?¿?¿

Nos puede dar una nueva descripción de las rutas donde encuentra nod 32 esas nuevas infecciones o una imagen. o todo

¿Cómo subo imágenes al Foro?


Para vacunar sus pendrives utilice esta herramienta:

Panda USB Vaccine

salu2

Hola nuevamente, a las preguntas que me hiciste:

1: No, baje un archivo de utorrent, pero fue mucho antes de que apareciera el virus y ya elimine el archivo, era un juego para un amigo y a el no le ha saltado nada.
Lo que si estoy haciendo es bajar desde un gestor de descargas (jdownloader) archivos de descarga directa a traves de servidores (rapidshare, megaupload) aunque he detenido todas las descargas y analiado todo lo que se bajo ultimamente y demas cosas y no me detecto nada haciendo un analisis de los archivos especificos.

2: Si, es el UE 4

3: El nod me detecta archivos con diferente nombre pero que tienen el mismo comportamiento, los nombres son combinaciones de letras azarosas (wxkjfc.exe o jpxbzx.exe por ejemplo) y en la gran mayoria de los casos los relaciona con el virus Win32/Packed.Autoit.Gen, y me advierte que fue detectado al intentar crear archivos nuevos. Ademas, en las carpetas donde los detecta quedan unos archivos identificados como aarchivos de sistema con nombres similares (kh* donde *=una letra, generalmente u, t, o v,) sin extension y que pesan 0Kb.
Tambien ha detectado virus con un comportamiento identico pero que lo llama Win32/Agent Troyano y en vez de quedar archivos de tipo kh* con archivos iguales pero con nombre "ctf" tambien sin extension y de 0 Kb.

Por eso creo que o es un mismo virus que crea los mismos archivos y el nod los detecta con diferentes nombres o son dos virus que actuan practicamente igual. Por cierto, el segundo de los virus (Win32/Agent Troyano) lo ha detectado dos o tres veces unicamente, el resto de las detecciones, que son muchas mas, es siempre con el primer nombre.

4: No, detecta la creacion de aquellos archivos .exe que te menciono arriba pero en varias rutas distintas (aunque suelen repetirse, pero van aumentando en cantidad, por ejemplo, al principio solo lo detectaba en rutas de la particion E: ahora tambien lo hace en la particion C:) te copio algunas abajo:

E:\Mis documentos\Nacho\windows xp point\wxkjfc.exe
E:\Mis documentos\Mis vídeos\Videos\wxkjfc.exe
E:\Mis documentos\santi\wxkjfc.exe
E:\Mis documentos\Mis vídeos\Series y Pelis\Pelis\wxkjfc.exe
C:\Documents and Settings\All Users\Documentos\wxkjfc.exe
C:\san\wxkjfc.exe
E:\Mis documentos\Nacho\windows xp point\jpxbzx.exe
E:\Mis documentos\Mis vídeos\Videos\jpxbzx.exe
E:\Mis documentos\santi\jpxbzx.exe
E:\Mis documentos\Mis vídeos\Series y Pelis\Pelis\jpxbzx.exe
C:\Documents and Settings\All Users\Documentos\jpxbzx.exe
C:\san\jpxbzx.exe
E:\Mis documentos\Mis vídeos\Videos\nzqiac.exe
E:\Mis documentos\santi\nzqiac.exe
E:\Mis documentos\Mis vídeos\Series y Pelis\Pelis\nzqiac.exe

5: Si, conecto mi pendrive y mi celular, al celular lo conecte por primera vez despues de que aparecio el virus y solamente dos veces (antes de hacer todo lo que me dijeron aca) ademas los analizis que le hice no detectaron nada por lo que me cuesta creer que este alli el virus, en cuanto al pendrive, estaba formateado antes de que apareciera el virus y tambien lo formatie despues y el virus sigue saltando aunque no esten conectados. y los vacune con el flash disinfector.

Hola nach_in.

Vamos a realizar unos paso haber si conseguimos dar con el problema.
Por el momento para esa descargas y te recomiendo que reinstales el (jdownloader) pero no lo utilices.

Si tienes alguna carpetas compartidas entre las particiones deshabilitala por el momento.


Ahora vamos con los pasos, a un que te parezca repetido.

Actualizas Malwarebite´s y realizas scan completo eliminando lo que encuentre, ya sabes como, lo haces en modo seguro este paso.


Reinicias el PC a modo normal y continuas con esto:


1º-Descarga el ESET Smart Installer

• Ejecutar y marcar, las casillas Eliminar las amenazas detectadas y analizar archivos.
• Dar en Configuración adicional, marcar las casillas de Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnoligía Anti-Stealth.
• Dar en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.
• Acabado el scan dar en Finalizar El reporte se puede localizar en C:\Archivos de programa\ESET\ESET Online Scanner\log

2º- realizas un scan con Kaspersky Online Scanner (Versión Inglesa) si no puedes con esta versión pruebas con esta otra Kaspersky Online Scanner(español)


Me traes los 3 informes por favor, y comenta como sigue el PC.

ok... ya lo voy a hacer... ahora estoy medio ocupado asiq voy a tardar, tenganme paciencia :p

he notado algo... las carpetas en las que aparece el virus son todas carpetas puestas para compartir.. no se porque sera, pero me parecio relevante... saludos, y vuelvo en unos dias.... :D