Tema: No me deja apagar el PC y me aparece: "Auto blz legal cutcutado"

[Hayle]

Hola a todos, desde hace unos días no puedo ni apagar, ni reiniciar ni cerrar sesión en mi ordenador, cuando intento hacer una de estas 3 cosas dándole a Inicio - Apagar o Reiniciar se queda el ordenador como si nada y lo más extraño es que cuando le doy a Control + Alt + Supr (Administrador de tareas) me aparece una tarea activa que se llama "Auto blz legal cutcutado" que me imagino que será un virus o algo por el estilo.

Le pasé el antivirus (Nod32) y el Ad-aware pero no conseguí hacer nada, busqué en el google sin conseguir nada, hablan de que es un virus portugués pero nadie da ninguna solución y por eso decidí preguntar aquí. Agradecería mucho que me ayudaseis.

Un saludo y gracias de antemano

[Liamngls]

Saca un log del HijackThis (clic aquí)...

[Hayle]

Gracias por tu contestación Liamngls pero ya está solucionado, entré en una página portuguesa donde aparecía un link, ejecuté un programa en MS-DOS y desapareció el Auto blz legal cutcutado, eso sí, al finalizar este programita me ponía algo así como que cambiara todas mis contraseñas de e-mail, de cuentas, etc... me acojonó un poco.

[Liamngls]

Sólo por curiosidad, en esa página ¿solo exponían la solución o era una consulta sobre el problema? Si era una consulta ¿al usuario con el problema no le pidieron un log del HijackThis?

[Hayle]

Vi varias páginas y en muchas de ellas pedían eso que dices tú del Hijackthis ese y le ponían el log, pero en la página donde ejecuté el programa ese no estoy seguro de si lo pedían pero creo que no.

Un saludo.

[Liamngls]

Es posible que no esté limpio del todo ya que ese "virus" infecta varios archivos del sistema, la solución que yo tenía a mano incluía dos desinfecciones ¿sería mucha molestia pegar el log de todos modos?

¿El programa que usaste era el BankerFix? Si era ese deberías de tener un archivo más o menos en esta ruta: C:\LinhaDefensiva\relatorio.txt, sería interesante también que pegases el contenido de ese archivo de texto 

[Hayle]

Aquí tienes el log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 1:46:38, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\BitTorrent_DNA\dna.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\KONAMI\Pro Evolution Soccer 6\PES6.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Brais\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\BitTorrent_DNA\dna.exe"
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Y ahora el Linhadefensiva ese:

BankerFix 2.4 - Removedor de Bankers
Linha Defensiva - http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
Data: 09/12/2007 - 0:52
-------------------------------------------------------
Lista de Definição: 2007-11-27-1
=======================================================

Arquivo infectado detectado: C:\WINDOWS\svchost.exe
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\WINDOWS\syst.dat
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\WINDOWS\System\msnmsg.exe
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\WINDOWS\iexplorer.exe
Arquivo infectado removido com sucesso!

 
Killando arquivos em Help
-----------------------------------
 
  Killing '*'
 
Removendo Arquivos em Help
-----------------------------------
 
 
 
----- Fim -------------------------

[Liamngls]

Los logs se ven bien, el otro paso que te comentaba sería seguir estas instrucciones:

http://www.forospyware.com/t70006.html

En realidad no es necesario que lo hagas si las búsquedas que hagas te dan resultados normales, si notas que los resultados de las búsquedas te redireccionan a sitios que no deberían si tendrías que hacerlo, en ese caso sería importante que apuntes la configuración de las DNS de tu equipo por si se desconfigurase al repararlas.

En cuanto a lo de las contraseñas, el BankerFix elimina un troyano que se dedica a robar datos de cuentas, msn, paypal, etc... si guardas contraseñas de algo en el ordenador sería muy recomendable que las cambiases