Tema: Necesito ayuda - VIRUS

[Rhea]

Hola! Me llamo Rhea y necesito bastante ayuda. Hace una semana un virus que se hacia llamar backdoor trojan entro a mi pc, lo primero que hizo fue cargarse el auto-protect de mi Norton y algun que otro archivo que hacia funcionar el winamp y el front page (los programas que estaba utilizando). Eliminé todo lo que me detectó el Norton excepto uno llamado ibm0001.dll que lo tengo en cuarentena. Instalé un cortafuegos como pude ya que los antivirus no se porque no funcionaban y ahi estoy. Hace poco instale uno llamado Ad-ware y desde el modo a prueba de fallos elimine muchos virus que tenia, pero aun asi el norton sigue sin funcionar con auto-protect y claro, estoy con el culo al aire. ¿Qué hago?

[fedelf]

Arranca en modo a prueba de fallos, ve a la pagina de panda www.pandasoftware.es y pasa el activescan, elimina todo lo que detecte, cuando acabe reinicias, desinstalas el norton y vuelve a instalarlo, a ver si asi lo conseguimos.

[Rhea]

El problema es que no tengo el cd del norton, me lo instaló el informatico que trabaja donde mi padre y es de la empresa, así que no puedo u.u crees que debería llevarlo a algun sitio a arreglar? mi padre me mata, en menos de 6 meses lo ha llevado 3 veces.

No hay otra solucion?

[Liamngls]

¿Las tres veces por lo mismo?

[Rhea]

Que va, una fue por que el pc lo queria formatear, despues por que entró mi hermano y no se que movida me hizo con el pc & otra que tenia problemas con la conexión. Las 3 veces desinstalaba los antivirus que me instalaron y mi padre está que me mata xD Más que nada, porque se lo hacen como un favor. Pero esto es muy raro, creo que el virus ese dañó algun archivo del Norton, creo que ya lo eliminé completamente, pero claro, el norton no me defiende continuamente y me siguen entrando virus a punta pala. No se que descargarme ya u.u

[Mr_X]

Consíguete un antivirus gratuito y ligero y deja de lado al Norton

Regálanos un Log del Autoruns de Sysinternals (clic): descomprímelo en un directorio, dale doble clic al archivo AUTORUNS.EXE, oprime la tecla "Esc", ve al menú "Options", marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo aquí...

[Rhea]

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ Arovax AntiSpyware   Arovax AntiSpyware   (Not verified) Arovax   c:\archivos de programa\arovax antispyware\arovaxantispyware.exe

+ ccApp   Symantec User Session   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe

+ Creative WebCam Tray   Creative Camera Launcher Application   (Not verified) Creative Technology Ltd   c:\archivos de programa\creative\shared files\camtray.exe

+ DAEMON Tools-1033   Virtual DAEMON Manager   (Not verified) DAEMON'S HOME   c:\archivos de programa\d-tools\daemon.exe

+ defender      (Not verified) ÄÂÃÌÀ   c:\defender21.exe

+ ezShieldProtector for Px   ezSP_Px MFC Application   (Not verified) Easy Systems Japan Ltd.   c:\windows\system32\ezsp_px.exe

+ HostManager   AOL   (Verified) America Online, Inc.   c:\archivos de programa\archivos comunes\aol\1146507830\ee\aolsoftware.exe

+ keyboard         File not found: C:\keyboard21.exe

+ MessengerPlus3   Messenger Plus!   (Verified) Patchou   c:\archivos de programa\messengerplus! 3\msgplus.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\windows\system32\nerocheck.exe

+ New.net Startup   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

+ newname         File not found: C:\newname21.exe

+ QuickTime Task   QuickTime Task   (Not verified) Apple Computer, Inc.   c:\archivos de programa\quicktime\qttask.exe

+ RemoteControl   PowerDVD RC Service   (Not verified) Cyberlink Corp.   c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SmcService   Sygate Agent Firewall   (Verified) Sygate Technologies, Inc.   c:\archivos de programa\sygate\spf\smc.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

+ Symantec NetDriver Monitor   Symantec Security Drivers Install Monitor   (Verified) Symantec Corporation   c:\archivos de programa\symnetdrv\sndmon.exe

+ SysTray         File not found: c:\Program Files\casnrui.exe

+ ViewMgr   ViewMgr   (Verified) Viewpoint Corporation   c:\archivos de programa\viewpoint\viewpoint manager\viewmgr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio         

+ Adobe Gamma Loader.lnk   Adobe Gamma Loader   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.exe

C:\Documents and Settings\Rosa\Menú Inicio\Programas\Inicio         

+ spywaresheriff.lnk         File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

+ AIM         File not found: C:\Archivos de programa\AIMLite\aim.exe

+ Aim6   AOL   (Verified) America Online, Inc.   c:\archivos de programa\archivos comunes\aol\launch\aollaunch.exe

+ MessengerPlus3   Messenger Plus!   (Verified) Patchou   c:\archivos de programa\messengerplus! 3\msgplus.exe

+ msnmsgr   MSN Messenger   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msnmsgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Classes\Protocols\Filter         

+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

HKLM\SOFTWARE\Classes\Protocols\Handler         

+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll

+ msnim   MSN Messenger Protocol Handler   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msgrapp.dll

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         

HKCU\Software\Microsoft\Internet Explorer\Extensions         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

+ AIM         File not found: C:\Archivos de programa\AIMLite\aim.exe

Task Scheduler         

+ Norton AntiVirus - Analizar el equipo - Rosa.job   Norton AntiVirus Scanner Module   (Verified) Symantec Corporation   c:\archivos de programa\norton antivirus\navw32.exe

+ Symantec NetDetect.job   Symantec NetDetect   (Verified) Symantec Corporation   c:\archivos de programa\symantec\liveupdate\ndetect.exe

HKLM\System\CurrentControlSet\Services         

+ ccEvtMgr   Symantec Event Manager   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe

+ ccSetMgr   Symantec Settings Manager   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\ccsetmgr.exe

+ EPSONStatusAgent2   EPSON Printer Status Agent   (Not verified) SEIKO EPSON CORPORATION   c:\archivos de programa\archivos comunes\epson\ebapi\sagent2.exe

+ Network Monitor         File not found: C:\Archivos de programa\Network Monitor\netmon.exe service

+ NPFMntor   Detects installation of Symantec Firewall clients   (Verified) Symantec Corporation   c:\archivos de programa\norton antivirus\iwp\npfmntor.exe

+ SBService   Norton AntiVirus ScripBlocking Service   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\script blocking\sbserv.exe

+ SmcService   Sygate Agent Firewall   (Verified) Sygate Technologies, Inc.   c:\archivos de programa\sygate\spf\smc.exe

+ SNDSrvc   Symantec Network Drivers Service   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\sndsrvc.exe

+ SPBBCSvc   Symantec SPBBC   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\spbbc\spbbcsvc.exe

+ Symantec Core LC   Symantec Core LC   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\ccpd-lc\symlcsvc.exe

HKLM\System\CurrentControlSet\Services         

+ NAVENG   AV Engine   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060517.020\naveng.sys

+ NAVEX15   AV Engine   (Verified) Symantec Corporation   c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060517.020\navex15.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\Software\Microsoft\Command Processor\Autorun         

HKCU\Software\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

+ StillImage         File not found: C:\WINDOWS\system32\WFDMLOG.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

+ New.net TCP Chain   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

+ New.net TCP Filter   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

+ New.net UDP Chain   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

+ New.net UDP Filter   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

+ EPSON V3 2KMonitor346   EPSON Bidirectional Monitor   (Not verified) SEIKO EPSON CORPORATION   c:\windows\system32\e_sl2346.dll

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages         

[Rhea]

lo hice 2 veces y m salieron cosas distintas o.O por eso lo modifique, haber que me decis.

[Mr_X]

Viendo todo lo que tienes, creo que sería más fácil formatear y empezar de nuevo...

Haz una copia de seguridad del registro (te recomiendo el ERUNT), deshabilita el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona las siguientes entradas con el botón dercho y dale clic a "Delete":

Código: [Seleccionar]

+ Arovax AntiSpyware   Arovax AntiSpyware   (Not verified) Arovax   c:\archivos de programa\arovax antispyware\arovaxantispyware.exe

+ defender      (Not verified) ÄÂÃÌÀ   c:\defender21.exe

+ keyboard         File not found: C:\keyboard21.exe

+ New.net Startup   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll

+ newname         File not found: C:\newname21.exe

+ QuickTime Task   QuickTime Task   (Not verified) Apple Computer, Inc.   c:\archivos de programa\quicktime\qttask.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

+ SysTray         File not found: c:\Program Files\casnrui.exe

+ spywaresheriff.lnk         File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe

+ AIM         File not found: C:\Archivos de programa\AIMLite\aim.exe

+ AIM         File not found: C:\Archivos de programa\AIMLite\aim.exe

+ Network Monitor         File not found: C:\Archivos de programa\Network Monitor\netmon.exe service

+ StillImage         File not found: C:\WINDOWS\system32\WFDMLOG.dll

Además, baja el LSPFix, ejecútalo, toma nota de lo que aparece tanto del lado izquierdo como del derecho de la ventana y escríbelo en tu siguiente mensaje y NO HAGAS NADA MAS, cierra el programa usando la [X] arriba a la derecha...

[MClaud]

+ Arovax AntiSpyware   Arovax AntiSpyware   (Not verified) Arovax   c:\archivos de programa\arovax antispyware\arovaxantispyware.exe
+ ezShieldProtector for Px   ezSP_Px MFC Application   (Not verified) Easy Systems Japan Ltd.   c:\windows\system32\ezsp_px.exe
+ New.net Startup   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ newname         File not found: C:\newname21.exe
+ spywaresheriff.lnk         File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe
+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         
HKLM\Software\Microsoft\Internet Explorer\Toolbar         
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         
+ StillImage         File not found: C:\WINDOWS\system32\WFDMLOG.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         
HKCU\Control Panel\Desktop\Scrnsave.exe         
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         
+ New.net TCP Chain   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net TCP Filter   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Chain   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Filter   New.net Domains   (Not verified) New.net, Inc.   c:\archivos de programa\newdotnet\newdotnet7_22.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

Ad-ware es un antitroyano que te limpia unos y te instala otros no lo confundas con Ad-Aware, arovaxantispyware.exe otro similar spywaresheriff creo que has instalado todos los malos de la pelicula, ademas tienes dos antivirus aunque presumo que Bit Defender ya no corre pero sigue cargado en memoria como lastre
Tienes bastante trabajo de limpieza y aun asi tu SO creo que tendrá una resaca similar a la que tendrias despues de tomarte unos tragos baratos
La limpieza debera ser bien realizada sobre los archivos dll, temporales, cookies, revisar los archivos del sistema, los registros, luego restaurar los archivos del sistema uff trabajo bastante largo y minucioso porque algunos de ellos no los limpian los antivirus y antispys y hay que limpiarlos manualmente......
Me inclino por hacer un backup de la data y hacer una instalación limpia, es mas rapido y seguro