Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Por favor necesito de su ayuda para sacar el virus GENERIC.BRONTOK si me puedes ayudar agradeceria mucho es vuestra ayuda.

Hola, LenRec.

Realiza estos 11 pasos (NO hagas el paso 10 por ahora).

- Cuando hagas el paso 7 (antivirus online) usa, preferiblemente, el ewido y el kaspersky, en ese orde, y nos pegas el reporte que te generen.

Saludos
Reitxelle

Persiste el virus GENERIC.BRONTOK, he dado los pasos recomendados pero no puedo eliminarlo, así que envio mi LOG.

Logfile of HijackThis v1.99.1
Scan saved at 13:01:32, on 04/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\MsiExec.exe
C:\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\ProxyPlus\ProxyPlus.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\system32\Promon.exe
C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe
C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\ISS\BlackICE\blackice.exe
C:\mysql\bin\winmysqladmin.exe
C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\lsass.exe
C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\lsass.exe
C:\Archivos de programa\Softwin\BitDefender9\bdlite.exe
C:\Archivos de programa\LIUtilities\WinTasks\wintasks.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.96.16.190:4400/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINNT\KesenjanganSosial.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\MSDXM.OCX
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-StopW] C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINNT\ShellNew\RakyatKelaparan.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-4731] "C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\br10485on.exe"
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Startup: Empty.pif = ?
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = imb.msp.ec
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B75EBA-D8CB-4926-9583-C90E19F6CF53}: NameServer = 10.96.16.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{95F48A9B-13A9-4394-9C53-FEF6CCCDB169}: NameServer = 200.107.10.62,200.107.60.58
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = imb.msp.ec
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = imb.msp.ec
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\blackd.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Fortech Proxy+ (ProxyPlus) - FORTECH Ltd. - C:\Archivos de programa\ProxyPlus\ProxyPlus.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\rapapp.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Gracias por vuestra ayuda.

Hola, LenRec.

No te olvides dejarnos los reportes de los antivirus online que son necesarios.

Cópianos el contenido que haya dentro de este archivo c:\winnt\tour.reg

Realiza estos pasos:

1.- Activa la opción Ver Archivos Ocultos

2.- Reinicia en Modo a Prueba de Fallos

3.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINNT\KesenjanganSosial.exe"

O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINNT\ShellNew\RakyatKelaparan.exe"

O4 - HKCU\..\Run: [Tok-Cirrhatus-4731] "C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\br10485on.exe"

O4 - Startup: Empty.pif = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

4.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\services.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\lsass.exe

C:\WINNT\KesenjanganSosial.exe

C:\WINNT\ShellNew\RakyatKelaparan.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\br10485on.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\csrss.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\inetinfo.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\smss.exe

C:\Documents and Settings\Administrador.IMB\Configuración local\Datos de programa\vchost.exe

5.- Pasa estas herramientas:

- Ad-Aware 1.06 SE Personal

- Disk Cleaner para limpiar cookies y temporales

- RegSeeker para limpiar el registro de Windows y su manual pasalo varias veces hasta que ya no te salga nada para eliminar.

6.- Reinicia el pc

- Instálate el SpywareBlaster 3.4 manual

7.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

8.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Saludos
Reitxelle

He realizado los pasos indicados, pero me encuentro creo yo con otra variante del virus GENERIC.BRONTOK, por lo cual envio el último reporte de ewido así como también un nuevo reporte del log de mi máquina.

REPORTE DE EWIDO:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Worm.Brontok.c
Path: C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000001.rcb/00000001.fil
Risk: High

Name: Worm.Brontok.c
Path: C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000005.rcb/00000001.fil
Risk: High

Name: Worm.Brontok.c
Path: C:\Documents and Settings\Administrador.IMB\Plantillas\19152-NendangBro.com
Risk: High

Name: TrackingCookie.Yieldmanager
Path: :mozilla.13:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.14:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.15:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.16:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.17:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Com
Path: :mozilla.19:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.46:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Cqcounter
Path: :mozilla.50:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexlist
Path: :mozilla.59:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Liveperson
Path: :mozilla.70:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Liveperson
Path: :mozilla.74:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Liveperson
Path: :mozilla.75:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.81:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.82:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.83:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.84:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.85:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.105:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.106:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.107:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.108:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.109:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: :mozilla.110:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Valueclick
Path: :mozilla.114:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Qksrv
Path: :mozilla.115:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Qksrv
Path: :mozilla.116:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Revenue
Path: :mozilla.121:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.123:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: :mozilla.125:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: :mozilla.126:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: :mozilla.127:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: :mozilla.128:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.129:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.130:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.131:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.132:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.133:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.134:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.135:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.136:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.137:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.138:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.139:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.140:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.141:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.142:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Hotlog
Path: :mozilla.152:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yadro
Path: :mozilla.154:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.166:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.167:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.170:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.171:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.172:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.173:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.174:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.175:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.186:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Spylog
Path: :mozilla.205:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.216:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.255:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.256:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.257:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.258:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Valuead
Path: :mozilla.304:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Valuead
Path: :mozilla.306:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Valuead
Path: :mozilla.311:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: :mozilla.325:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: :mozilla.326:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: :mozilla.327:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: :mozilla.328:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Masterstats
Path: :mozilla.344:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Webtrendslive
Path: :mozilla.360:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Trafic
Path: :mozilla.370:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adjuggler
Path: :mozilla.371:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adjuggler
Path: :mozilla.372:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: :mozilla.373:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: :mozilla.374:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: :mozilla.377:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.378:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.379:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Webtrendslive
Path: :mozilla.393:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.401:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.403:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.414:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: :mozilla.421:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Pointroll
Path: :mozilla.444:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Pointroll
Path: :mozilla.445:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Pointroll
Path: :mozilla.446:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Pointroll
Path: :mozilla.447:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.473:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Casalemedia
Path: :mozilla.478:C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt
Risk: Medium

Name: Worm.Brontok.c
Path: C:\Documents and Settings\Administrador.IMB\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000010.rcb/00000002.fil
Risk: High

NUEVO LOG:
Logfile of HijackThis v1.99.1
Scan saved at 13:47:07, on 08/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\ProxyPlus\ProxyPlus.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\ISS\BlackICE\blackice.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\WINNT\system32\mdm.exe
C:\Archivos de programa\TuneUp Utilities 2006\RegistryCleaner.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.96.16.190:4400/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINNT\KesenjanganSosial.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [BDOESRV] "C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [F-StopW] C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-3213] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe"
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = imb.msp.ec
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B75EBA-D8CB-4926-9583-C90E19F6CF53}: NameServer = 10.96.16.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{95F48A9B-13A9-4394-9C53-FEF6CCCDB169}: NameServer = 200.107.10.62,200.107.60.58
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\blackd.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Fortech Proxy+ (ProxyPlus) - FORTECH Ltd. - C:\Archivos de programa\ProxyPlus\ProxyPlus.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\rapapp.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Gracias por vuestra ayuda. Debo indicar que este computador sirve de servidor de internet, por lo que es indispensable sacar este virus.

Atte. LenRec.

Hola, LenRec.

* Cópianos el contenido de este archivo para ver que contiene:

c:\winnt\tour.reg

* Realiza estos pasos y recuerda ponernos los reportes de los antivirus online:

1.- Deshabilita el Restaurar Sistema

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKCU\..\Run: [Tok-Cirrhatus-3213] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe"

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O17 - HKLM\System\CCS\Services\Tcpip\..\{92B75EBA-D8CB-4926-9583-C90E19F6CF53}: NameServer = 10.96.16.50

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000001.rcb/00000001.fil

C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000005.rcb/00000001.fil

C:\Documents and Settings\Administrador.IMB\Datos de programa\TuneUp Software\TuneUp Utilities\Backups\00000010.rcb/00000002.fil

C:\Documents and Settings\Administrador.IMB\Plantillas\19152-NendangBro.com

C:\Documents and Settings\Administrador.IMB\Datos de programa\Mozilla\Firefox\Profiles\hg34tpta.default \cookies.txt

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe

6.- Pasa estas herramientas:

- WinSock XP Fix

- Ad-Aware 1.06 SE Personal manual

- Disk Cleaner para limpiar cookies y temporales

- RegSeeker para limpiar el registro de Windows y su manual pásalo varias veces hasta que ya no te salga nada para eliminar.

7.- Reinicia el pc

8.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

9.- Analiza este archivo con VirusTotal y nos pegas el reporte que te genere:

C:\WINNT\KesenjanganSosial.exe

10.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Saludos
Reitxelle

Saludos a todos.
Muchas gracias por vuestra ayuda, me ha sido de gran utilidad, he solucionado y se ha limpiado mi máquina de ese virus. Nuevamente te quedo muy agradecido. Realmente es muy útil esta página WEB, y es una herramienta cotidiana para todos quienes trabajamos en una PC.
Un gran saludo para ti y un muchas gracias REITXELLE, eres genial.

Hasta Pronto
LenRec.

Hola, LenRec.

Me alegro que el pc vuelva a estar ok de nuevo .

Deshaz los pasos 1 y 2.

Saludos
Reitxelle

yo tengo ese mismo virus pero lo malo que no me deja ejecutar ningun programa ---


esta es la descricion del virus


por si quieren ayudarme porfas

Hola dj decen-

Abre un nuevo post con tu problema, no respondas en uno del mes pasado.
Sera mas facil para moderadores y/o colaboradores encontrarlo y ayudarte. Y de paso hacemos el foro un lugar mas ordenado.

Saludos