Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, al equipo le he pasado SuperAntySpy, Avast, Karsperky, he tratado de buscar los archivos contaminados manualmente y no existen; pero se que estan alli, porque no puedo abrir los discos ni el pen drive, cuando lo intento,abrir el disco duro, aparece un mensaje que me dice que falta el archivo copy.exe y cuando yntento abrir el pen drive, aparece un mensaje que dice No se encuentra el archivo de comandos "F:\autorun.vbs".

ESTE ES Logfile generado por HijackThis. Gracias amigos

Logfile of HijackThis v1.99.1
Scan saved at 12:48:08, on 02/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\websvcd.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
D:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 9.exe
D:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
D:\Archivos de programa\QuickTime\qttask.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
D:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
D:\Archivos de programa\Winamp\winampa.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\Archivos de programa\Zapu\Zapu\wDivi.exe
D:\ARCHIV~1\INCRED~1\bin\IMApp.exe
D:\Archivos de programa\Windows Desktop Search\WindowsSearchIndexer.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Share_Accelerator_MM toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - D:\Archivos de programa\Share_Accelerator_MM\tbSha0.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\Userinit.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Share_Accelerator_MM toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - D:\Archivos de programa\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Share_Accelerator_MM toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - D:\Archivos de programa\Share_Accelerator_MM\tbSha0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [Picasa Media Detector] D:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] "D:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] D:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Free Download Manager] D:\Archivos de programa\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Zapu.lnk = D:\Archivos de programa\Zapu\Zapu\wDivi.exe
O4 - Startup: Zapu Acceleration Engine.lnk = D:\Archivos de programa\Zapu\Zapu\wincm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = D:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk976YYVE
O8 - Extra context menu item: &Windows Live Search - res://D:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?e95acee384614db8b6e250efedc9307c
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?e95acee384614db8b6e250efedc9307c
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.errornuker.com/products/errn2004/installers/default/ErrorNukerInstaller.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maryelenazp.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170966256263
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: efcbaww - efcbaww.dll (file missing)
O20 - Winlogon Notify: jkhgd - D:\WINDOWS\system32\jkhgd.dll (file missing)
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Aplicación del sistema COM+ (COMSysApp) - Unknown owner - D:\WINDOWS\system32\dllhost.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Unknown owner - D:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - D:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - D:\WINDOWS\system32\dllhost.exe (file missing)

Hola , te doy la bienvenida al Foro de InfoSpyware

Este tipo de infección se propaga infectando los Pendrives con un archivo autoejecutable al inicio llamado autorrun.inf

Este archivos que involuntariamente se nos copian en nuestro pen-drive al insertarlo en una máquina infectada, por lo que al cambiar el pen de pc el autorrun arranca llamando Copy.exe y host.exe infectando así el sistema.

Por ahora el daño que causa es deshabilitar el autoarranque de nuestro pendrive o en su caso que nuestro equipo no lo reconozca o con mensajes de error que no encuentra el archivo copy.exe

Para desinfectar este malware tenemos dos opciones:

Opción A:

Si con la herramienta de desinfección automática no funciona ya tendremos que usar el proceso largo de la opción B.

Opción B:

Reinicia y nos contas los resultados.

Puede que luego sea necesario intentar formatear el Pendrive en caso de que no sea accesible.

Salu2

Hola intente correr el Panda On line y el Avast me dice que contiene Win32.CTX (Virus/gusano) y me indica que aborte, lo cual hice. Pero aun esta alli. esta era la ultima prueba segun las instrucciones. Gracias

Hola, ese es un falso positivo de Avast que no te tenes que preocupar.

Confirmanos si pudistes limpiar tu sistema con el Flash_Disinfector ?

Salu2

Hola, ayer logre que se eliminaran todos los virus/gusanos que tuvo mi equipo y despues de abortar el Panda, corri el Flash desinfector, y realmente no se si fue el o ya los habia eliminado; porque no reinicie. Pero puedo decir que el Flash Desinfector lo baje y lo instale y es una BOMBA cuando se trata de pen drives o flash drives. Los deja como nuevos. Gracias a ti y a todos por la preocupacion y ayuda.

NOTA: De ahora en adelante voy a tratar de tomar mayores precauciones y no bajo NADA que no sea sugerido por el equipo de Forospyware.

amigo mezeta