Virus de la doble tilde (´´)(Solucionado)

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
Virus de la doble tilde (´´)(Solucionado)

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Enviar a:

Herramientas

post #1

05/11/09, 06:45:40

Interesator Interesator está offline

Usuario

Registrado: nov 2009

Ubicación: madrid

Mensajes: 5

Virus de la doble tilde (´´)(Solucionado)

Buenos días,

Tengo en el ordenador el virus (o malware) de la doble tilde cada que doy a la tecla del acento.

He seguido los pasos que explica Anleg 30 en este post de este mismo foro con el programa OTMoveIt. Reinicio el equipo, el OTMoveIt me muestra un informe con lo que ha hecho, y todo funicona perfectamente, es decir, ya no tengo el problema con la doble tilde. El problema viene cuando vuelvo a reiniciar el ordenador al día siguiente, vuelvo a tener el problema de la doble tilde. (es como si quedara algo residente y cuando enciendo vuelvo a tener de nuevo el problema)

¿Como puedo terminar de matar el bicho?

Muchas gracias y un saludo para todos.

InfoSpyware

post #2

05/11/09, 08:01:15

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: Virus de la doble tilde (´´)

Hola Interesator

Descarga lo siguiente:

º CCLEANER. Lo instalas según Su Manual

º MALWAREBYTE´S. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN

Ejecuta CCLEANER usando sus opciones "Limpiador" y "Registro".

Ejecuta MALWAREBYTE´S.
Hacé un "escaneo completo". Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces.

Descarga HIJACKTHIS v2.0.2.zip (está al final del pos), y siguiendo ese mismo pos, generas un log.

Una vez guardado el log, regresas para pegarlo en tu respuesta.

En tu próxima respuesta, debes poner lo siguiente:

º El reporte de malwarebyte´s, que se encuentra en su pestaña REGISTROS
º El log de Hijackthis
º Como funciona tu pc ahora

Saludos

NO DESESPERES....SIGUE LUCHANDO.

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3

05/11/09, 18:30:05

Interesator Interesator está offline

Usuario

Registrado: nov 2009

Ubicación: madrid

Mensajes: 5

Re: Virus de la doble tilde (´´)

Hola a todos,

En primer lugar quiero darte las gracias Leosolari por ayudarme en el probelma que tengo y que no he logrado solucionar.

Creo haber seguido todos los pasos de lo que me has dicho que hiciera. Al principio parece que se soluciona el problema y desaparece la doble tilde, pero cuando al final del todo reinicio el ordenador, vuelvo a tener el mismo problema, ¡¡ doble tilde !!

Paso a ponerte lo que me has pedido.

El reporte de malwarebyte´s:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3099
Windows 5.1.2600 Service Pack 2

05/11/2009 23:05:22
mbam-log-2009-11-05 (23-05-22).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 205791
Tiempo transcurrido: 1 hour(s), 13 minute(s), 28 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)[/CODE]

log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23

27, on 05/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\win\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Win\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3 a.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
D:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\win32hoot.exe,
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - d:\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Win\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Win\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis 3a.exe" /source=HKLM
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "d:\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\Win\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Win\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {F3556224-B5A5-4C30-A9B4-1318624FE286} (BKInstall Control) - https://www.bankinter.com/www/es-es/classes/vozip/VideoAsesor.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33D66027-9E56-4212-A0F6-2646FEB1B2F7}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{33D66027-9E56-4212-A0F6-2646FEB1B2F7}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{33D66027-9E56-4212-A0F6-2646FEB1B2F7}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Win\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Win\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6580 bytes[/CODE]

Mi pregunta es, ¿que puedo hacer ahora?

Muchas gracias.

Última edición por Leosolari fecha: 06/11/09 a las 09:05:59. Razón: sacar etiqueta CODE

post #4

06/11/09, 09:07:48

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: Virus de la doble tilde (´´)

Hola Interesator

Cierra todos los programas, ejecutas HijackThis , tildas las casillas de estas entradas y presionas "FIX Cheked"

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\win32hoot.exe,
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

Reinicia el ordenador y Nos comentas si tu pc funciona bién. Saludos

NO DESESPERES....SIGUE LUCHANDO.

post #5

07/11/09, 07:44:45

Interesator Interesator está offline

Usuario

Registrado: nov 2009

Ubicación: madrid

Mensajes: 5

Re: Virus de la doble tilde (´´)

Hola de nuevo Leosolari,

Muchas gracias por ayudarme.

He hecho al pie de la letra lo que me has dicho, reinicio, y sigo con la doble tilde.

Resumiendo: Solo logro quitar el virus pasando el programa OTMoveIt y poniendo:

:Files
C:\WINDOWS\system32\nircmd.exe
C:\WINDOWS\system32\digeste.dll

:Commands
[emptytemp]
[Reboot]

Despues reinicio el equipo y problema solucionado, pero en el momento que vuelvo a reiniciar el equipo (es decir, que ya se carga el sistema sin lanzar el OTMoveIt) vuelvo atner el problema de la doble tilde en todo su explendor.

Admito todo tipo de sugerencias.

MUCHAS GRACIAS

post #6

07/11/09, 14:45:27

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: Virus de la doble tilde (´´)

Hola de nuevo....

Mira...A pesar de tener el mismo problema que muestras en ese hilo....NO debes ejecutar los mismos comandos, porque generalmente...Los archivos infectores cambian.

por favor, si vamos a seguir, no realizes acciones que no te indique porque distorsionas el proceso.....Y este debe hacerce de manera ordenada para no dañar tu sistema operativo.

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Cita:

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Cita:

PD: No vuelvas a ejecutar ComboFix ni ningun otro programa antivirus hasta que vuelva con una respuesta, ya que puedes hacer cambiar las cosas.

NO DESESPERES....SIGUE LUCHANDO.

post #7

08/11/09, 14:30:22

Interesator Interesator está offline

Usuario

Registrado: nov 2009

Ubicación: madrid

Mensajes: 5

Re: Virus de la doble tilde (´´)

Hola Leosolari,

Perdona por haber hecho algo que no me habias dicho que hiciera.

He hecho lo que me has dicho, y este es el informe que me da el ComboFix.

ComboFix 09-11-07.02 - Tenis 08/11/2009 18:56.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.511.128 [GMT 1:00]
Running from: c:\documents and settings\Tenis\Escritorio\ComboFix.exe
AV: Kaspersky Anti-Virus Personal *On-access scanning disabled* (Updated) {816CD617-99F4-4B18-828E-80582E4B044D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Cache

Infected copy of c:\windows\system32\drivers\vaxscsi.sys was found and disinfected
Restored copy from - Kitty ate it :p
c:\windows\system32\proquota.exe was missing
Restored copy from - c:\system volume information\_restore{C632848C-85BE-4C76-9FDE-1A10188D94A9}\RP482\A0433453.exe

.
((((((((((((((((((((((((( Files Created from 2009-10-08 to 2009-11-08 )))))))))))))))))))))))))))))))
.

2009-11-08 18:05 . 2004-08-19 13:43 42752 ----a-w- c:\windows\system32\proquota.exe
2009-11-05 17:28 . 2009-11-05 17:28 17581552 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\rp\RealPlayerSPGold _es.exe
2009-11-04 16:17 . 2009-11-04 16:17 -------- d-----w- c:\documents and settings\Tenis\Datos de programa\Malwarebytes
2009-11-04 16:17 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-04 16:17 . 2009-11-04 16:17 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-11-04 16:17 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-04 10:59 . 2009-11-08 17:54 -------- d-sh--w- c:\windows\system32\follwedef32
2009-10-22 07:55 . 2009-10-22 07:55 8405312 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\gtb\GOOGLE_TOOLBAR\ GoogleToolbarInstaller.exe
2009-10-22 07:54 . 2009-10-22 07:54 10309448 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\chr\ChromeInstaller .exe
2009-10-22 07:54 . 2009-10-22 07:54 64000 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\gca pi_dll.dll
2009-10-22 07:54 . 2009-10-22 07:54 52288 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\gta pi.dll
2009-10-22 07:54 . 2009-10-22 07:54 50688 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\fft bapi.dll
2009-10-22 07:54 . 2009-10-22 07:54 114688 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\com pat.dll
2009-10-21 16:15 . 2009-10-21 16:15 435720 ----a-w- c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\setup.exe
2009-10-21 16:08 . 2009-10-21 16:08 -------- d-----w- c:\archivos de programa\Archivos comunes\xing shared
2009-10-21 16:07 . 2009-10-21 16:08 -------- d-----w- c:\archivos de programa\Archivos comunes\Real
2009-10-21 11:23 . 2009-10-21 11:56 -------- d-----w- c:\documents and settings\Tenis\Datos de programa\ntr
2009-10-20 19:49 . 2008-07-10 11:56 107864 ----a-w- c:\windows\system32\tsccvid.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-08 17:44 . 2007-12-30 20:46 -------- d-----w- c:\documents and settings\Tenis\Datos de programa\Skype
2009-11-08 17:43 . 2007-12-30 20:47 -------- d-----w- c:\documents and settings\Tenis\Datos de programa\skypePM
2009-11-04 18:27 . 2007-12-30 17:44 -------- d-----w- c:\archivos de programa\Archivos comunes\InstallShield
2009-11-04 18:27 . 2007-12-30 17:44 -------- d--h--w- c:\archivos de programa\InstallShield Installation Information
2009-11-04 17:44 . 2008-09-28 14:21 -------- d-----w- c:\archivos de programa\Panda Security
2009-10-28 22:11 . 2008-04-24 22:35 -------- d-----w- c:\documents and settings\Tenis\Datos de programa\U3
2009-10-25 17:31 . 2002-09-24 12:00 566672 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-25 17:31 . 2002-09-24 12:00 115680 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-19 18:45 . 2008-06-05 18:44 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2009-09-24 11:19 . 2009-09-24 11:19 -------- d-----w- c:\documents and settings\All Users\Datos de programa\FLEXnet
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2008-11-07 21633320]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"KAVPersonal50"="c:\win\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-08-03 127079]
"NeroFilterCheck"="c:\archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"pdfFactory Pro Dispatcher v3"="c:\windows\System32\spool\DRIVERS\W32X86\3\fp pdis3a.exe" [2007-11-05 507904]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2008-12-16 136600]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2009-10-21 180269]
"Malwarebytes Anti-Malware (reboot)"="d:\malwarebytes' anti-malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-09-11 46592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\wi ndows\system32\win32hoot.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Win\\CuteFTP 8 Professional\\ftpte.exe"=
"d:\\PUNTODESET\\Programas\\GestionPuntodeset\\sck tsrvr.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Win\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\Si3112r.sys [30/12/2007 18:49 84529]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [27/06/2004 15:16 9939]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [27/01/2009 23:33 162176]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://localhost/
uInternet Settings,ProxyOverride = local
IE: E&xportar a Microsoft Excel - c:\win\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: {33D66027-9E56-4212-A0F6-2646FEB1B2F7} = 87.216.1.65,87.216.1.66
DPF: {F3556224-B5A5-4C30-A9B4-1318624FE286} - hxxps://www.bankinter.com/www/es-es/classes/vozip/VideoAsesor.cab
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 19:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys >>UNKNOWN [0x8239FBF8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8239fbf8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

************************************************** ************************
.
Completion time: 2009-11-08 19:12
ComboFix-quarantined-files.txt 2009-11-08 18:12

Pre-Run: 46.048.165.888 bytes libres
Post-Run: 46.031.294.464 bytes libres

- - End Of File - - 2212EC7D20C5363FEEBABCA144A70512[/CODE]

Quedo a la espera de que me digas que debo hacer.

Muchas gracias

Última edición por Leosolari fecha: 08/11/09 a las 18:08:05. Razón: sacar code

post #8

08/11/09, 18:14:25

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: Virus de la doble tilde (´´)

Realiza lo siguiente :

Clic en INICIO > EJECUTAR >
- Y ahí pones notepad.exe y ACEPTAR
- Ahora copia y pega el texto del cuadro de mas abajo dentro del Notepad

Código:

KillAll::

File::
c:\windows\system32\win32hoot.exe

Rootkit::
c:\windows\system32\win32hoot.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"=

Guarda este archivo con el nombre CFScript.txt
Arrastra y suelta el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra el screenshot de abajo.
ComboFix comenzará otra vez a ejecutarse. Cuando termine generara un nuevo reporte que tendras que pegar en este mismo tema.

Despuès de reiniciar, nos comentas como sigue el ordenador.

saludos

NO DESESPERES....SIGUE LUCHANDO.

Última edición por Leosolari fecha: 08/11/09 a las 18:22:30.

post #9

09/11/09, 08:24:56

Interesator Interesator está offline

Usuario

Registrado: nov 2009

Ubicación: madrid

Mensajes: 5

Re: Virus de la doble tilde (´´)

SI, SI, SIIIIIIIIIIII !!!!

Muchas GRACIAS Leosolari. he hecho lo que me has dicho, he reiniciado el ordenador y parece que ya no hay rasto del virus. Puedo acentuar las vocales sin ningún problema.

á, é, í, ó, ú.

Lo ínico que ahora el sql server no se me carga, me da un mensaje al arrancar hablandome de una isntancia o algo así, pero eso es secundario, ya lo investigaré mañana.

Te pego el reporte que me ha dado el combofix, y te doy las gracias nuevamente por tu inestimable ayuda.

Código:

ComboFix 09-11-07.02 - Tenis 09/11/2009 12:35.2.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.34.3082.18.511.110 [GMT 1:00]
Running from: c:\documents and settings\Tenis\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Tenis\Escritorio\CFScript.txt
AV: Kaspersky Anti-Virus Personal *On-access scanning disabled* (Updated) {816CD617-99F4-4B18-828E-80582E4B044D}
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\system32\win32hoot.exe"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Temp\log.txt

Infected copy of c:\windows\system32\drivers\vaxscsi.sys was found and disinfected 
Restored copy from - Kitty ate it :p 
.
(((((((((((((((((((((((((   Files Created from 2009-10-09 to 2009-11-09  )))))))))))))))))))))))))))))))
.

2009-11-08 18:05 . 2004-08-19 13:43	42752	----a-w-	c:\windows\system32\proquota.exe
2009-11-05 17:28 . 2009-11-05 17:28	17581552	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\rp\RealPlayerSPGold_es.exe
2009-11-04 16:17 . 2009-11-04 16:17	--------	d-----w-	c:\documents and settings\Tenis\Datos de programa\Malwarebytes
2009-11-04 16:17 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-04 16:17 . 2009-11-04 16:17	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-11-04 16:17 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-04 10:59 . 2009-11-09 11:33	--------	d-sh--w-	c:\windows\system32\follwedef32
2009-10-22 07:55 . 2009-10-22 07:55	8405312	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-10-22 07:54 . 2009-10-22 07:54	10309448	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\chr\ChromeInstaller.exe
2009-10-22 07:54 . 2009-10-22 07:54	64000	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\gcapi_dll.dll
2009-10-22 07:54 . 2009-10-22 07:54	52288	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\gtapi.dll
2009-10-22 07:54 . 2009-10-22 07:54	50688	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\fftbapi.dll
2009-10-22 07:54 . 2009-10-22 07:54	114688	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\RUP\inst_config\compat.dll
2009-10-21 16:15 . 2009-10-21 16:15	435720	----a-w-	c:\documents and settings\Tenis\Datos de programa\Real\Update\setup3.08\setup.exe
2009-10-21 16:08 . 2009-10-21 16:08	--------	d-----w-	c:\archivos de programa\Archivos comunes\xing shared
2009-10-21 16:07 . 2009-10-21 16:08	--------	d-----w-	c:\archivos de programa\Archivos comunes\Real
2009-10-21 11:23 . 2009-10-21 11:56	--------	d-----w-	c:\documents and settings\Tenis\Datos de programa\ntr
2009-10-20 19:49 . 2008-07-10 11:56	107864	----a-w-	c:\windows\system32\tsccvid.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-09 11:48 . 2007-12-30 20:46	--------	d-----w-	c:\documents and settings\Tenis\Datos de programa\Skype
2009-11-09 11:17 . 2007-12-30 20:47	--------	d-----w-	c:\documents and settings\Tenis\Datos de programa\skypePM
2009-11-04 18:27 . 2007-12-30 17:44	--------	d-----w-	c:\archivos de programa\Archivos comunes\InstallShield
2009-11-04 18:27 . 2007-12-30 17:44	--------	d--h--w-	c:\archivos de programa\InstallShield Installation Information
2009-11-04 17:44 . 2008-09-28 14:21	--------	d-----w-	c:\archivos de programa\Panda Security
2009-10-28 22:11 . 2008-04-24 22:35	--------	d-----w-	c:\documents and settings\Tenis\Datos de programa\U3
2009-10-25 17:31 . 2002-09-24 12:00	566672	----a-w-	c:\windows\system32\perfh00A.dat
2009-10-25 17:31 . 2002-09-24 12:00	115680	----a-w-	c:\windows\system32\perfc00A.dat
2009-10-19 18:45 . 2008-06-05 18:44	--------	d---a-w-	c:\documents and settings\All Users\Datos de programa\TEMP
2009-09-24 11:19 . 2009-09-24 11:19	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\FLEXnet
.

(((((((((((((((((((((((((((((   SnapShot@2009-11-08_18.07.18   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-09 11:44 . 2009-11-09 11:44	16384              c:\windows\temp\Perflib_Perfdata_614.dat
- 2009-11-08 18:07 . 2009-11-08 18:07	53248              c:\windows\Temp\catchme.dll
+ 2009-11-09 11:48 . 2009-11-09 11:48	53248              c:\windows\temp\catchme.dll
- 2007-12-30 17:32 . 2009-11-08 17:54	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-30 17:32 . 2009-11-09 11:32	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-30 17:32 . 2009-11-09 11:32	32768              c:\windows\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
- 2007-12-30 17:32 . 2009-11-08 17:54	32768              c:\windows\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
+ 2008-02-29 19:22 . 2009-11-09 11:48	225663              c:\windows\system32\inetsrv\MetaBase.bin
- 2007-12-30 17:32 . 2009-11-08 17:54	147456              c:\windows\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat
+ 2007-12-30 17:32 . 2009-11-09 11:32	147456              c:\windows\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2008-11-07 21633320]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal50"="c:\win\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-08-03 127079]
"NeroFilterCheck"="c:\archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"pdfFactory Pro Dispatcher v3"="c:\windows\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2007-11-05 507904]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2008-12-16 136600]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2009-10-21 180269]
"Malwarebytes Anti-Malware (reboot)"="d:\malwarebytes' anti-malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-09-11 46592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Win\\CuteFTP 8 Professional\\ftpte.exe"=
"d:\\PUNTODESET\\Programas\\GestionPuntodeset\\scktsrvr.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Win\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\Si3112r.sys [30/12/2007 18:49 84529]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [27/06/2004 15:16 9939]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [27/01/2009 23:33 162176]

--- Other Services/Drivers In Memory ---

*Deregistered* - mbr
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://localhost/
uInternet Settings,ProxyOverride = local
IE: E&xportar a Microsoft Excel - c:\win\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: {33D66027-9E56-4212-A0F6-2646FEB1B2F7} = 87.216.1.65,87.216.1.66
DPF: {F3556224-B5A5-4C30-A9B4-1318624FE286} - hxxps://www.bankinter.com/www/es-es/classes/vozip/VideoAsesor.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-09 12:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe >>UNKNOWN [0x8239FB78]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8239fb78
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\MPR.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Bonjour\mDNSResponder.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\win\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wdfmgr.exe
c:\archivos de programa\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wscntfy.exe
c:\archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
c:\archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
c:\windows\system32\dwwin.exe
.
**************************************************************************
.
Completion time: 2009-11-09 12:57 - machine was rebooted
ComboFix-quarantined-files.txt  2009-11-09 11:57
ComboFix2.txt  2009-11-08 18:12

Pre-Run: 45.932.879.872 bytes libres
Post-Run: 45.914.927.104 bytes libres

- - End Of File - - B0E5B9EEBA4204DD3C855E395A78EC31

post #10

09/11/09, 08:39:53

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: Virus de la doble tilde (´´)

Hola de nuevo

Desinstala CF de esta manera:

Ve a Inicio > Ejecutar
Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:

o
Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

Se borraran:
- ComboFix: sus archivos y carpetas.
- VundoFix: copias de seguridad (si está presente)
- La carpeta C:\Deckard (si está presente)
- La carpeta C: _OtMoveIt (si está presente)
Restablece la configuración del reloj.
Ocultar extensiones de archivo (si es necesario.)
Oculta los archivos que estaban ocultos
Reactiva el "Restaurar Sistema"

Por cualquier otro problema, no dudes en volver a postear. Te dejo saludos.

Tema Solucionado

PD: si deseas REABRIR ESTE TEMA, presiona

y Tu consulta serà atendida.

Cita:

Por último te recomiendo suscribirte por email al Feed de nuestro Blog de Infospyware para estar al tanto de las nuevas amenazas que circulan por la red y así en un futuro puedas prevenirlas.

NO DESESPERES....SIGUE LUCHANDO.

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
ayuda con VBS/terrosist.ow (solucionado)	jonesss	Temas Solucionados	14	21/06/09 01:03:05
Re: virus en el sistema	chester_00	Foro de Virus y Spywares	19	21/05/09 01:42:12
seguire infectado	flony	Foro de Virus y Spywares	17	21/03/09 20:38:01
Un gran problema con un virus me vuelve loco!	andresps240778	Foro de Virus y Spywares	16	30/01/09 18:56:29
ERROR 1068: No se puede iniciar el Servicio o Grupo de Dependencia	AFJDESCARGAS	Foro de Virus y Spywares	10	15/01/09 14:06:51

Todas las horas son GMT -4. La hora es 00:16:15.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus