Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Gracias por su tiempo, Disculpen por apenas registrarme, y empezar a molestar, pero bueno, el punto es que a traves de mi memoria USB, contagie un virus llamado brontok a mi pc, la cual tiene windows xp Pro. (a decir verdad no se exactamente que especificaciones tengo que dar), en fin, empezo a ponerse muy lenta, y a crear carpetas en las memorias usb, o en el disco duro, estas carpetas tenian el mismo nombre que la carpeta donde estaban guardadas, o en algunos casos tenian el nombre del usuario, pero no era muy serio el problema, supuse que podria eliminarlo con algun antivirus, lo curioso es que me permitio instalar y ejecutar un antivirus llamado AV Antivir, que tiene un emblema de una sombrilla, pero no me dio ningun tipo de reporte ni nada acerca de que habia sucedido, aunque si detecto algunos virus y yo los borre, en la opcion "Delete", el problema surgio cuando despues de haber eliminado los virus me di cuenta que no aparecian los iconos en el escritorio, pense que se habrian ocultado o algo asi, pero me di cuenta de que al dar click derecho en el escritorio no aparecia nada, no me desplegaba ningun submenu y no sabia como entrar a mi pc, ahora para poder entrar a mis documentos o lo que sea, tengo que presionar el comando Ctrl+Alt+supr, archivo, ejecutar, explorer e ingreso desde ahi, me dijeron que pasara el lzantivirus, luego en modo a prueba de errores, ejecutara un archivo que restaura los valores predeterminados en el registro, pero cada vez que lo ejecuto me dice que el administrador a deshabilitado esta opcion, si lo hago desde la cuenta que dice administrador, si acepta los cambios, pero si intento hacerlo desde la otra cuenta que en teoria es la que yo utilizo me vuelve a salir el mensaje "el Administrador ha desabilitado la opcion", o algo asi, en fin ya estoy harto, y estoy por incendiar mi computadora si no logro hacer algo para quitar el virus, en fin y que puedo hacer? de antemano gracias por su ayuda.

Hola el Brontok es un gusano que se propaga rapidamente en el pc. Te recomiendo abstenerte de abrir archivos o carpetas porque el gusano crea archivos .exe que se ven como carpetas y al intentar abrirlos lo que realmente estas haciendo es propagar la infeccion.

Descarga las siguientes herramientas:

Para desbloquear el registro y reparar la opción ver archivos ocultos, además de desbloquear el escritorio:

reg-unlocker-v1.1.exe, ejecutalo de preferencia en "Modo a Prueba de Fallos" (modo seguro).

Nota: Si este procedimiento no da el resultado esperado (retomar el control del registro) prueba este otro, ejecutá el HijackThis y dale Fix a ésta entrada si la vez:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Descarga el SUPERAntispyware, instalalo y actualizalo y realiza un escaneo completo del pc y elimina lo que este encuentre. A continuación Pasale estos Antivirus Online: ewido(elimina lo que encuentres con la opcion Remove Infections y salva el reporte ) y kaspersky (no tiene opción de remover solo salva el reporte) y pegas los reportes que te generaron para revisarlos.

Manual del Kaspersky Online

Manual del Ewido Online

Bueno, Gracias por tu ayuda, mira con el anterior antivirus que habia instalado que era el avantivir. si me genero un reporte, pero como lo guardaba automaticamente en una carpeta en archivos de programa, jamas le habia visto asi que volvi a pasar el antivirus hoy y este es el resultado



AntiVir PersonalEdition Classic
Report file date: Martes, 12 de Junio de 2007 07:18

Scanning for 397237 virus strains and unwanted programs.

Licensed to: AntiVir PersonalEdition Classic
Serial number: 0000149996-WURGE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: Roberto
Computer name: USUARIO-G8D9BM5

Version informations:
AVSCAN.EXE : 7.0.0.42 557096 01/11/2001 06:06:29
AVSCAN.DLL : 7.0.0.42 53288 01/11/2001 06:06:29
LUKE.DLL : 7.0.0.42 118824 01/11/2001 06:06:31
LUKERES.DLL : 7.0.0.42 25640 01/11/2001 06:06:31
ANTIVIR0.VDF : 6.35.0.1 7371264 01/11/2001 06:06:27
ANTIVIR1.VDF : 6.35.0.4 2048 01/11/2001 06:06:28
ANTIVIR2.VDF : 6.35.0.5 2048 01/11/2001 06:06:28
ANTIVIR3.VDF : 6.35.0.6 2048 01/11/2001 06:06:28
AVEWIN32.DLL : 7.1.0.10 1511936 01/11/2001 06:06:28
AVPREF.DLL : 7.0.0.1 49192 01/11/2001 06:06:29
AVREP.DLL : 6.35.0.1 643112 01/11/2001 06:06:29
AVRPBASE.DLL : 7.0.0.0 2162728 01/11/2001 06:06:29
AVPACK32.DLL : 7.1.0.1 335912 01/11/2001 06:06:29
AVREG.DLL : 6.31.0.90 27688 01/11/2001 06:06:29
NETNT.DLL : 6.32.0.0 6696 01/11/2001 06:06:32
NETNW.DLL : 6.32.0.0 9768 01/11/2001 06:06:32
RCIMAGE.DLL : 7.0.0.71 1642536 01/11/2001 06:06:35
RCTEXT.DLL : 7.0.0.75 77864 01/11/2001 06:06:35

Configuration settings for the scan:
Jobname: '%s'.................: ShlExt
Configuration file............: C:\DOCUME~1\Roberto\CONFIG~1\Temp\b81c1332.avp
Boot sectors..................: C
Scan memory...................: 1
Process scan..................: 0
Scan all files................: 1
Scan archives.................: 1
Recursion depth...............: 20
Smart extensions..............: 1
Macro heuristic...............: 1
File heuristic................: -1
Primary action................: 1
Secondary action..............: 0

Start of the scan: Martes, 12 de Junio de 2007 07:18


Start scanning boot sectors:

Boot sector 'C:\'
[NOTE] No virus was found!

Starting the file scan:

C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\Configuración local\Temp\gos3.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\Roberto\Escritorio\Conciertos\beto\TombRa iderAngelofDarkSetup-dm.exe
[WARNING] The file could not be opened!


End of the scan: Martes, 12 de Junio de 2007 16:24
Used time: 9:05:37 min



3312 Scanning directories
179786 Files were scanned
0 viruses and/or unwanted programs was found
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
830 Archives were scanned
16 Warnings
2 Notes

No tengo ni la mas remota idea acerca de que mas hay que hacer, ya me descargue el programa, y ahora voy a instalarle, pero ya ejecute el regunlocker en modo seguro, pero no Cambia nada, ¿Que hago despues?, ¿simplemente debo reiniciar o debo modificar algo en el Editor de Registro? Te Agradezco por tu ayuda. y por cierto, como no tengo mucho (por no decir nada) de conocimiento de esto, ¿que es el HijackThis, o donde le consigo?
una vez mas Gracias.

Que tal, recien tuve el mismo prblema con una compu, y luego de estar todo el díalogre dejarla bien, lo que utilicé fue:
Primero correr el NOD32 Antivirus, personalmente el mejor que existe
Segundo regunlocker para desbloquear el registro
Tercero autoruns de www.sysinternals.com luego de chekear la opcion para esconder los procesos de windows refrescar e ir buscando linea por linea hay muchísimos procesos que se inician en el boot de la pc que te puedes dar cuenta claramnete cuales son, ya sea por que tienen nombres que nunca has oido, en descripcion del fabricante no tienen nada, si de algo no estas seguro buscas en la web.
Cuarto Elimina tambien con el autoruns todas las barras del internet explorer que es por donde entran el 90% de spyware y virus
Quinto entre cada paso talves es mejor ir reiniciando para que poco a poco vayan disminuyendo los procesos que estan en memoria
Sexto Vuelve a correr el NOD32 con la busqueda mas completa con euristica, habilitando las opciones para borrar el virus apenas lo encuentre
septimo usar Cleanup! con esta herramienta borraras todos los archivos temporales de tu pc, ya que en muchas de las carpetas temporales se guardn estos virus

Haciendo esto varias veces, talvez me olvido de algo, te va a quedar bien.

Lo mas probable cuando corras el nod la primera vez pase que se cuelgue la maquina o luego de reiniciar se cuelgue antes que logres hacer nada, lo que hacía yo era ctrl alt supr cerrar el explorer y volverlo a cargar, y volver a ejecutar el antivirus

Como dato, este virus es tan poderoso, que si tu entras a la carpeta donde el virus raiz está hubicado se te reinicia la maquina, si entras en modo a prueba de fallos se reinicia la maquina, si quieres utilizar el killbox o el file assasin para borrarlo, la maquina se reinicia, y los programas killboz y file assasin fueron eliminados por el virus, es por esto, que los antivirus hacen que la maquina se cuelgue, por que es el virus tomando medidas de defensa.


Cualquier cosa me avisas y con gusto te ayudo


Saludos

Gracias por tu ayuda Buitro, pero Dime ¿como desbloqueo el Escritorio?, ya que no se que debo hacer no me aparece nada, ni la barra de inicio ni nada asi, y ya me harte un poco de tener que ingresar a traves de el comando ctrl+alt+supr, y tener que escribir explorer para poder entrar a mis documentos. en fin, por cierto pase el Hijackthis, y me dio una especie de reporte, pero decia que no modificara nada, sino preguntara a alguien que sepa acerca del tema, asi que lo pego

Logfile of HijackThis v1.99.1
Scan saved at 10:07:29 p.m., on 12/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

**LOG BORRADO**
**ZONA NO ADECUADA**

Mientras tanto Buitro, Hare todo lo que me indicas, y si pudieses contestar a mis preguntas te lo agradecere eternamente.

Que tal, verás, yo del hijackthis no se mucho, la verdad no lo utilizo practicamente todo problema que he tenido lo he solucionado usando el autoruns y los otros programas que te puse ahi.

para lo del escritorio tambien me pasó, y siguiendo lo que te puse anteriormente me soluciono, si ya has echo eso sin solucion, intenta lo siguiente.


inicio, ejecutar, regedit

navega hasta
Mi PC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


Aquin en el panel de la derecha busca las claves

shell donde debe estar escrito Explorer.exe sin comillas, sin comas sin nada mas que Explorer.exe si hay cualquier otro signo cambialo

y la clave

UIhost aquin debe estar logonui.exe y nada mas


intentalo y me avisas
Suerte

Bien buitro, Muchas Gracias por tu ayuda, pero ahora tengo otro problema, el cual es que pase el autoruns tal y como me lo indicaste, despues busque linea por linea (muy tedioso y aburrido por cierto), y para finalizar, que cosas debia eliminar, lo que no estaba seguro era para que exactamente servia la opcion Verify, pero supuse que era para ver cuales procesos estaban realmente ligados al uso del registro , y cuales podrian estar siendo utilizados por el virus, y tambien supuse que tenia que borrar los que no tenian razon de ser y en ese mismo instante me libero el escritorio, y la barra de inicio y segui con el siguiente paso que era reiniciar, y creo que ahi inicio mi nuevo dilema. no estoy seguro de si me equivoque en mis conjeturas, pero ahora tengo otro problema el cual es que ahora cada vez que inicia mi pc, me pide que escriba el nombre de usuario, y la contraseña, inicio con mi usuario normal, y ahora me da un rotulo que dice que esta cargando mi configuracion personal, y segundos despues me dice que esta guardando mi configuracion personal, y me vuelve a pedir que escriba el nombre de usuario y contraseña, entro como administrador, y sigue, en fin, no se si elimine algo cuando no debia hacerlo, o si el virus, cobro su venganza, pero en fin, por favor creo que necesito aun mas ayuda.