Problema generado por Panda 2007

**Javier P.** · 04/05/07, 13:51:57

Hola!! junto con saludarles les expongo mi problema.

Resulta que hace dos semanas atras mas menos baje una version 2007 de panda por torrent. La cuestion es que al instalarlo al dia siguiente mi pc se vio ultra infectada por troyanos, virus y demases, lo cual se debio parece por que el programa de panda que baje se encontraba infectado (bitdefender online me tiro que estaba infectado con ardamax). Pude desinfectar casi completamente el pc (con NOD 32), digo casi por que Nod 32 no puede desinfectar unos archivos ubicados en C:// System Volume Information y no puedo visualizar dicha carpeta, a pesar de iniciar sesión como "administrador". El asunto es que un par de veces al dia nod 32 me notifica que encuentra algo (virus o troyano) y pc se ha puesto lenta ultimamente. Bueno, adjunto mi log para ver si el problema que tengo pasa por ahi:
Logfile of HijackThis v1.99.1
Scan saved at 19:49:51, on 04/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Javier\HijackThis.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OnCare] wfgdfdsk.exe
O4 - HKLM\..\Run: [XP HOT FIXS] KB15763136.exe
O4 - HKLM\..\Run: [MythxXx] C:\WINDOWS\System32\{54654524165456463454654}\mx02.exe
O4 - HKLM\..\Run: [Windows Service Agent] taskmgr32.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DRam prosessor] plqrhtttco.exe
O4 - HKLM\..\Run: [RelPlaer.exe] keqgeihj.exe
O4 - HKLM\..\Run: [blah services] dwnk.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [OnCare] wfgdfdsk.exe
O4 - HKLM\..\RunServices: [XP HOT FIXS] KB15763136.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] taskmgr32.exe
O4 - HKLM\..\RunServices: [Configuration Loader] syscfg32.exe
O4 - HKLM\..\RunServices: [DRam prosessor] plqrhtttco.exe
O4 - HKLM\..\RunServices: [RelPlaer.exe] keqgeihj.exe
O4 - HKLM\..\RunServices: [blah services] dwnk.exe
O4 - HKLM\..\RunOnce: [XP HOT FIXS] KB15763136.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OnCare] wfgdfdsk.exe
O4 - HKCU\..\Run: [XP HOT FIXS] KB15763136.exe
O4 - HKCU\..\Run: [Windows Service Agent] taskmgr32.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177447670048
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: antivirusdll - Unknown owner - C:\WINDOWS\winimi.exe (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: XP HOT FIXS (updates.microsoft.com) - Unknown owner - C:\WINDOWS\System32\KB15763136.exe" -netsvcs (file missing)

De antemano muchas gracias por su respuesta!!!

**Heavyman** · 05/05/07, 14:57:30

Hola Javier P.,

Realizá estos pasos:

-1- Descargá la herramienta DelPSGuard.zip + Manual y descomprimíla en el escritorio de Windows pero no la ejecutés aún.

-2- Apagá el "Restaurar Sistema" (Si utilizás Windows XP o Me)

-3- Activá la opción Ver Archivos Ocultos

-4- Reiniciá en Modo a Prueba de Fallos

-5- Cerrá todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [OnCare] wfgdfdsk.exe

O4 - HKLM\..\Run: [XP HOT FIXS] KB15763136.exe

O4 - HKLM\..\Run: [DRam prosessor] plqrhtttco.exe

O4 - HKLM\..\Run: [RelPlaer.exe] keqgeihj.exe

O4 - HKLM\..\Run: [blah services] dwnk.exe

O4 - HKLM\..\RunServices: [OnCare] wfgdfdsk.exe

O4 - HKLM\..\RunServices: [XP HOT FIXS] KB15763136.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] taskmgr32.exe

O4 - HKLM\..\RunServices: [Configuration Loader] syscfg32.exe

O4 - HKLM\..\RunServices: [DRam prosessor] plqrhtttco.exe

O4 - HKLM\..\RunServices: [RelPlaer.exe] keqgeihj.exe

O4 - HKLM\..\RunServices: [blah services] dwnk.exe

O4 - HKLM\..\RunOnce: [XP HOT FIXS] KB15763136.exe

O4 - HKCU\..\Run: [OnCare] wfgdfdsk.exe

O4 - HKCU\..\Run: [XP HOT FIXS] KB15763136.exe

O4 - HKCU\..\Run: [Windows Service Agent] taskmgr32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: antivirusdll - Unknown owner - C:\WINDOWS\winimi.exe (file missing)

O23 - Service: XP HOT FIXS (updates.microsoft.com) - Unknown owner - C:\WINDOWS\System32\KB15763136.exe" -netsvcs (file missing)

-6- Sin reiniciar, buscá y eliminá estos archivos/carpetas, si no se dejan eliminar descargá el programa FileASSASSIN y seguí las indicaciones del post de dónde lo descargáste.

wfgdfdsk.exe

KB15763136.exe

plqrhtttco.exe

keqgeihj.exe

dwnk.exe

taskmgr32.exe

syscfg32.exe

C:\WINDOWS\winimi.exe

C:\WINDOWS\web\related.htm

-7- Ejecutá la herramienta DelPSGuard.exe y seguí las instrucciones del programa.

-8- Pasá el Disk Cleaner para limpiar cookies y temporales

-9- Pasá el Regseeker para Limpiar el Registro, pasálo hasta que no quede nada para eliminar.

-10- Pasá el AVG Anti-Spyware 7.5 actualizado

-11- Reiniciá la máquina y luego pegá otro log de Hijackthis y nos contás como te fué.

Suerte

**Javier P.** · 08/05/07, 13:00:09

Hola Heavyman, te cuento:

Realize los pasos que me mencionaste anteriormente, lo unico es que no pude encontrar los archivos: wfgdfdsk y kb15763136.

El problema es que en mi log de hijackthis me siguen apareciendo esas entradas. a todo esto el dspguard no detecto nada en mi computador.

ahi va mi log:

Logfile of HijackThis v1.99.1
Scan saved at 18:59:42, on 08/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
D:\Javier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Service Agent] taskmgr32.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Flashget] "C:\Archivos de programa\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\RunServices: [Windows Service Agent] taskmgr32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OnCare] wfgdfdsk.exe
O4 - HKCU\..\Run: [XP HOT FIXS] KB15763136.exe
O4 - HKCU\..\Run: [Windows Service Agent] taskmgr32.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177447670048
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

saludos!!!!

**Heavyman** · 09/05/07, 16:40:33

Hola Javier P.,

Tu log continúa infectado, debés verificar que Nod32 esté totalmente actualizado, e instalar un firewall (podés descargar alguno desde Infospyware.com)

En tu próximo post pegás un nuevo log.

Suerte

Problema generado por Panda 2007

Herramientas

Problema generado por Panda 2007

Re: Problema generado por Panda 2007

Re: Problema generado por Panda 2007

Re: Problema generado por Panda 2007