Tema: Ayuda por favor!! 2 Virus

[Unfornet]

Muy Buenas a todos ,  pase el Panda Active Scan y me detecto y elimino 2 virus : Trj/Leritand.B (en el Sistema Operativo) y el Trj/Small.AG ( en C:\Recycled\1.exe )
El problema es q ahora no me abre ninguna aplicacion ejecutable, nada, ni siquiera el I.E, q hago??, ayuda por favor y muchas Gracias de antemano.

por ejemplo si quiero abrir el real Player sale:

Windows no puede encontrar el archivo:`c:\archivos deprograma\real\relaplayer\realplay.exe.Asegurese de q la ruta y el nombre de archivo estan escritos correctamente y vuelva a intentarlo.

Y lo mismo con cada programa q quiero abrir. Ayuda por Favor!!

[Miyu]

Holas y bienvenido Unfornet
-Un par de cosillas, has vuelto a pasar el Panda después para asegurarte de que te los había eliminado?
-Qué windows tienes?
- El problema con los ejecutables ha surgido inmediatamente después de eliminarlos o recuerdas haber tocado alguna otra cosa?

Estaría bien que pudieses pasar otro antivirus y un antitroyanos para ver si te localizan algo más, dices que desde el icono del explorer no te deja, prueba de éstas formas a ver si de alguna te es posible:
- A través del iexplore que debe haber en C/Archivos de programa/Internet explorer.
- O bien entrando en modo a prueba de fallos (calcas repetidamente f8 mientras el pc está arrancando y eliges entrar en modo seguro con funciones de red)
Si lo consigues, pásate por éstas dos direcciones a hacerte un scan:
Antivirus Bitdefender ==> http://www.bitdefender.com/scan/licence.php
Antitroyanos Trojanscan ==> http://www.windowsecurity.com/trojanscan/

Nos cuentas

[Dabo]

bienvenido amigo, haz caso a Miyu y cuentanos  :wink:

[Unfornet]

Antes q nada muchas gracias por las respuestas, pero bueno no me a ido del todo bien, sigo sin poder abrir ningun ejecutable, les comento, ayer se me cambio la pagina de inico por esta :http://bestsearch.cc/3100/
en la misma pagina pude encontrar el " uninstall " lo ejecute pero no paso nada, como mi antivirus no detecto nada ( Mcafee ) pase el Scan on Line de Panda y fue q me detecto esos virus ( Trj/Leritand.B y Trj/Small.AG )
Luego de eso ya no pude abrir nada, al I.E entro por un acceso directo q tengo en el escritorio, por el icono del I.E no me deja.
Teng Win XP y ni siquiera me deja entrar a informacion de sistema para desactivar Restaurar Sistema.
Pase el Antitrojan y el Bitdefender q me dijo Miyu pero no encontro nada.
H leido por ahi q el gusano W32/SirCam bloquea todos los ejecutables .exe, pero en ningun analisis me aparecio ese virus.
Bueno espero q puedan ayudarme, y muchas gracias de nuevo.

[Miyu]

Reholas Unfornet, vamos a probar alguna otra cosilla, bájate el Hijack This de éste enlace http://www.spychecker.com/program/hijackthis.html, crea una carpeta nueva en C:\ llámala Hijack This y coloca allí el programa.
Ejecútalo, dale a Scan y una vez haya terminado, busca éstas entradas:

 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?
O18 - Protocol: start - {53B95211-7D77-11D2-9F82-00104B107C96} - C:\WINDOWS\System32\msxslab.dll

Fíjate bien que sean exactamente esos valores, si encuentras varios o todos ellos, marca la casillita que tienen al lado y dale a Fix checked, reinicia y mira a ver si se ha ido bestsearch.cc/3100/ de tu page de inicio.

Una cosa, para que la limpieza sea completa si es que tienes windows XP o ME deberías desactivar siempre la herramienta de restaurar sistema y volver a activarla cuando hayas terminado, te dejo dos enlaces donde explica cómo hacerlo
En XP http://www.vsantivirus.com/faq-winxp.htm
En ME http://www.vsantivirus.com/faq-winme.htm

Después de todo ello, deberías hacer también un scan profundo con el Ad-aware, en el foro de Spyware tienes tutoriales y enlaces de descarga, a ver qué más te dicen por aquí mientras

[Unfornet]

Hola Miyu, bueno hice lo q me dijiste, baje el Hijack This , y realice el scan, ( el resultado te lo copio abajo ) estaban casi todas las entradas  me dijiste q buscara, las seleccione y las elimine, reinicie el equipo y entre por un acceso directo a Google , me fui a herramientas , opciones de internet y cambie la pagina de inicio ( puse google ) el tema es q ahora abre bien la pagina de inicio q pongo como predeterminada, pero cuando vuelvo a abrir herramientas , opciones de internet la pagina figura como : http://69.50.191.50/?google.com.ar , por que? si esta entrada la elimine con el Hijack ( http://69.50.191.50/? )
volvi a pasar el hijak y volvieron a aparecer las mismas entradas q habia eliminado, y sigo sin poder abrir los ejecutables, ni siquiera puedo desactivar restaurar sistema pq no me deja entar a "ver informacion de sistema"  bueno espero haber sido algo claro, Gracias de nuevo por la ayuda!

Te Copio el resultado del Scan  con el hijack y con el Ad-Aware:

Running processes:C:\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.50/?google.com.ar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: (no name) - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Archivos de programa\Recommended Hotfix - 421701D\v15\RH.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {39A1A5F5-4A11-4141-A13C-3DAEED43DDFC} - C:\WINDOWS\System32\mfd.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es-la\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [LQADSWN] C:\WINDOWS\LQADSWN.exe
O4 - HKLM\..\Run: [Moreobj] C:\ARCHIV~1\ATOMDR~1\ownspoke.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [sc] C:\Archivos de programa\ScrubXP\scrubxp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SpyKiller] C:\Archivos de programa\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Akutus] "C:\Archivos de programa\Akretio\Akutus\Akutus.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Investigador (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/shockwave/polarbowler/install.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EA7C186D-6E0B-40C4-BE1A-44034956AE8F} (ActiveFormX Control) - http://juegos.extremo.etb.net.co/AdvancedGames/Launcher.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F173F57-0664-4A33-9DE7-A6927A34A975}: NameServer = 200.75.51.36 199.2.252.10


El resultado de el Ad-Aware

Lavasoft Ad-aware Personal Build 6.181
Logfile created on  :Lunes, 30 de Agosto de 2004 10:48:55 a.m.
Created with Ad-aware Personal, free for private use.
Using reference-file :01R339 26.08.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


30-08-2004 10:48:55 a.m. - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [ad-aware.exe]
    FilePath           : C:\Archivos de programa\Lavasoft\Ad-aware 6\
    ThreadCreationTime : 30-08-2004 03:48:48 p.m.
    BasePriority       : Normal
    FileSize           : 668 KB
    FileVersion        : 6.0.1.181
    ProductVersion     : 6.0.0.0
    Copyright          : Copyright  
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-aware 6 core application
    InternalName       : Ad-aware.exe
    OriginalFilename   : Ad-aware.exe
    ProductName        : Lavasoft Ad-aware Plus
    Created on         : 21/05/2004 08:46:15 a.m.
    Last accessed      : 30/08/2004 05:00:00 a.m.
    Last modified      : 13/07/2003 02:00:20 a.m.

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

 Windows Object recognized!
    Type               : RegData
    Data               :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : exefile\shell\open\command
    Value              :
    Data               :


 Windows Object recognized!
    Type               : RegData
    Data               :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
    Value              :
    Data               :


 Windows Object recognized!
    Type               : RegData
    Data               :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\URL\Prefixes
    Value              : www
    Data               :


Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 3
Objects found so far: 3


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 3


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 3


10:50:20 a.m. Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:01:23:880
Objects scanned :37004
Objects identified :3
Objects ignored :0
New objects :3


Ojala puedan Ayudarme, Gracias.

[Miyu]

Unas preguntillas:
- Lo hiciste todo en modo a prueba de fallos?
- El Ad-aware lo pasaste antes, o después del Hijackthis? si lo hiciste antes ok, si lo hiciste después, por favor, vuelve a pasarlo y después otra vez el Hijackthis y pega de nuevo aquí el log de éste último.
Borra también cookies y archivos temporales de internet. Seguimos al tanto