Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bien, ya hemos identificado al causante del aviso, inicia el sistema en Modo Seguro, busca y elimina este archivo:

C:\WINDOWS\system32\ygjun.dll

También elimina el archivo:

C:\WINDOWS\svchost.exe

Luego con el buscador del Regseeker busca y elimina esta clave de registro:

{abef791f-947e-4cdf-83c3-e72a240afb67}

Realiza un escaneo con AVG Antispywares y pega un nuevo log de Hijackthis.

Seguimos pendientes.

Saludos

Gracias ya me deshaci de ese aviso malvado! pero como te dije el C:\WINDOWS\svchost.exe Cada ves que lo elimino Revive cuando reinicio mi makina.

Aki esta mi log.

Scan saved at 5:08:10 PM, on 4/18/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Anti Spyware and Viruses\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7116FB2-295C-4001-B622-9FCA2C4F758D}: NameServer = 209.244.0.3 209.244.0.4
O20 - AppInit_DLLs: MsgPlusLoader.dll,wbsys.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

No le pase ewido ya que solamente lo que encuentra son programas q yo uso.

Sube el archivo C:\WINDOWS\svchost.exe a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis, así veremos a que infección nos estamos enfrentando.

Saludos

Hola parece que es un virus muy malo tu que opinas? y como lo elimino?
Complete scanning result of "svchost.exe", received in VirusTotal at 04.19.2007, 02:38:45 (CET).
Imagenes:
Resultado:






Informacion Addicional:




Normal:
Complete scanning result of "svchost.exe", received in VirusTotal at 04.19.2007, 02:38:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.19.0 04.18.2007 Win32/Hidrag
AntiVir 7.3.1.53 04.18.2007 W32/Hidrag.a
Authentium 4.93.8 04.18.2007 W32/Jeefo.A
Avast 4.7.981.0 04.18.2007 Win32:Jeefo
AVG 7.5.0.447 04.18.2007 Win32/Hidrag.A
BitDefender 7.2 04.19.2007 Win32.Jeefo.A
CAT-QuickHeal 9.00 04.18.2007 W32.Jeefo.A
ClamAV devel-20070416 04.18.2007 W32.Jeefo
DrWeb 4.33 04.18.2007 Win32.HLLP.Jeefo.36352
eSafe 7.0.15.0 04.18.2007 Win32.Hidrag.a
eTrust-Vet 30.7.3578 04.19.2007 Win32/Jeefo.A
Ewido 4.0 04.18.2007 Worm.VB.dz
FileAdvisor 1 04.19.2007 Low threat detected
Fortinet 2.85.0.0 04.18.2007 W32/Jeefo.A
F-Prot 4.3.2.48 04.18.2007 W32/Jeefo.A
F-Secure 6.70.13030.0 04.19.2007 Virus.Win32.Hidrag.a
Ikarus T3.1.1.5 04.18.2007 Win32.Hidrag
Kaspersky 4.0.2.24 04.19.2007 Virus.Win32.Hidrag.a
McAfee 5012 04.18.2007 W32/Jeefo
Microsoft 1.2405 04.18.2007 Virus:Win32/Jeefo.A
NOD32v2 2202 04.18.2007 Win32/Jeefo.A
Norman 5.80.02 04.18.2007 W32/Hidrag.A
Panda 9.0.0.4 04.18.2007 W32/Jeefo.A.drp
Prevx1 V2 04.19.2007 Spyware.Lineage
Sophos 4.16.0 04.17.2007 W32/Jeefo-A
Sunbelt 2.2.907.0 04.14.2007 Jeefo (v)
Symantec 10 04.19.2007 W32.Jeefo
TheHacker 6.1.6.095 04.15.2007 W32/Jeefo.gen
VBA32 3.11.3 04.18.2007 Win32.HLLP.Jeefo
VirusBuster 4.3.7:9 04.18.2007 Win32.Hidrag
Webwasher-Gateway 6.0.1 04.18.2007 Win32.Hidrag.a

Aditional Information
File size: 36352 bytes
MD5: 9e3c13b6556d5636b745d3e466d47467
SHA1: 2ac1c19e268c49bc508f83fe3d20f495deb3e538
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9e3c13b6556d5636b745d3e466d47467
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e8ed228370
Sunbelt info: W32.Jeefo (v)-A infects Windows PE executables with an extension of .exe and a filesize greater than 102,399 bytes. The virus runs continuously in the background, infecting new files periodically. When an infected file is run, the virus dropper is extracted as svchost.exe and the virus attempts to disinfect the host executable.

Bueno bastaría con pasar un antivirus actualizado para eliminar la infección, por lo que veo no tienes antivirus instalado te recomiendo descargar uno como el Active Virus Shield que es gratuito y realizas un escaneo en Modo Seguro.

Seguimos pendientes.

Saludos

ese antivirus es bueno? como veo es de aol , nunca me ha gustado el funcionamento de aol ya que instala juegos y tonterias q no me vas arecomedar kaperskyo unos de esos mejores?

Kaspersky es un antivirus de pago, por eso no creí conveniente recomendártelo. Active Virus Shield es un antivirus gratuito, tiene la misma interfaz de Kaspersky y trabaja con el motor de Kaspersky, motivo por el cual te lo recomendé.

Ahora, si tienes los recursos como para comprar Kaspersky enhorabuena

Saludos

lo voy a probar.

Bueno sigue igual ese "virus" svchost no se puede eliminar ni con el Antivirus que me recomendaste.. se elimina pero despues sale otra ves.. Oo No habra otra forma para deshacerme de ese dichoso virus?

Los pasos para la eliminación de esta infección ya la hemos realizado en una de mis posts anteriores:

Combina estos pasos con un escaneo completo del Active Virus Shield en Modo Seguro.

Si el problema persiste intenta con estos pasos, aunque en esencia son los mismos pasos que te indico en esta post.

Saludos