carlossolan | |
| 2010-03-05 10:52 - Respuestas: 10 - Tema nº: 2667029
Windows XP Profesional 1GB de RAM.
Buenos días!!
Se me ha instalado un virus que dice ser un antivirus, conocido como "Desktop Security 2010" y es muy pesado, no dejan de aparecer ventanas por todas partes.
He leido muchas guías para desinstalarlo pero vuelve a reaparecer ya que se me ha instalado en una cuenta limitada y que está en un servidor (de mi instituto).
Os comento también que tengo la posibilidad de entrar como administrador del equipo (tengo la contraseña XD).
Un saludo!
| |
|
|
al-nitak | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-06 00:36 - Respuesta 2
Hola, en el pc que tiene el virus haz lo siguiente:
1. reinicia e ingresa en modo seguro con funciones de red (cuando el S.O empiece a cargar presionas F8 hasta que aparezca el menu).
2. vas al boton inicio ejecutar y alli escribes %tmp%, borras el contenido de esta carpeta.
3. ejecutas tu antivirus, un antivirus online (diferente al que tienes)puede ser cualquiera de estos (Panda Activescan ; ESET Online Scanner;F-Secure Online Scanner ; Kaspersky Online Scanner )y un antispy-ware (spy boot, superanti-spyware).
4. limpias el registro de llaves huerfanas con el programa Regcleaner o Ccleaner ccleaner instalacion configuracion y uso.
5. reinicias e intentas de nuevo.
Si el problema se te sigue presentando descarga e instala el HijackThis y lo ejecutas en modo normal con la opcion do a system scan and save log file, te va a arrojar un archivo en extension .txt, este lo copias y lo pegas en este post para que los moderadores autorizados lo puedan revisar.
Saludos......
| |
|
|
carlossolan | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-08 10:43 - Respuesta 3
Aquí os dejo el reporte de HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:37:41, on 08/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\xampp\apache\bin\apache.exe
C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\NetSupport\NetSupport School\runplugin.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.visualroute.com/support/uninstall.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NBHO1 Class - {53F53E00-4C2B-43E5-8AF0-D3C863E8FC65} - C:\Archivos de programa\Danware Data\NetOp School\Student\NBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [UpdateRuntime] C:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\runtimeupdate.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [ArchivedHist] C:\documents and settings\smr122\configuración local\datos de programa\google\chrome\user data\default\histarchived24729.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [sebluvik] c:\docume~1\smr122\config~1\temp\sebluvik.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [SecurityCenter] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\RunServices: [sebluvik] C:\DOCUME~1\SMR122\CONFIG~1\Temp\sebluvik.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\RunServices: [histarchived24729] C:\documents and settings\smr122\configuración local\datos de programa\google\chrome\user data\default\histarchived24729.exe (User 'SMR122')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\Software\..\Telephony: DomainName = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Client32 - NetSupport Ltd - C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NetOp Helper ver. 8.00 (2005143) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\Student\NHOSTSVC.EXE
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
End of file - 6099 bytes | |
|
|
marinalope | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-08 12:48 - Respuesta 4
Hola carlossolan.Cierra todos los programas incluido el navegador,abre el HijackThis,pulsa do a system scan only y marca estas entradas:
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\Run: [ArchivedHist] C:\\documents and settings\\smr122\\configuración local\\datos de programa\\google\\chrome\\user data\\default\\histarchived24729.exe (User \'SMR122\')
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\Run: [sebluvik] c:\\docume~1\\smr122\\config~1\\temp\\sebluvik.exe (User \'SMR122\')
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\Run: [SecurityCenter] C:\\Documents and Settings\\SMR122\\Datos de programa\\Desktop Security 2010\\securitycenter.exe (User \'SMR122\')
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\RunServices: [sebluvik] C:\\DOCUME~1\\SMR122\\CONFIG~1\\Temp\\sebluvik.exe (User \'SMR122\')
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\RunServices: [histarchived24729] C:\\documents and settings\\smr122\\configuración local\\datos de programa\\google\\chrome\\user data\\default\\histarchived24729.exe (User \'SMR122\')
Pulsa fix checked.
Con la opción mostrar archivos y carpetas ocultos activada elimina manualmente lo siguiente:
O4 - HKUS\\S-1-5-21-1042580371-1671556648-1310344514-2098\\..\\Run: [ArchivedHist] C:\\documents and settings\\smr122\\configuración local\\datos de programa\\google\\chrome\\user data\\default\\histarchived24729.exe (User \'SMR122\')
C:\\Documents and Settings\\SMR122\\Datos de programa\\Desktop Security 2010
Si alguno nio se deja usa Unlocker.
Pasa el spybot s d i instalacion y utilizacion basica,CCleaner y Regseeker para limpiar temporales y registro,reinicia y pega un nuevo log.
Te recomiendo que actualices Internet Explorer.
-
[Mensaje editado por marinalope con fecha: 08-03-2010 12:50:50]. | |
|
|
carlossolan | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-09 13:11 - Respuesta 5
Muchas gracias, entre lo que me has dicho y otras cosas que he hecho yo lo he conseguido quitar, por el momento no me ha salido más. Espero que no me haya dejado nada que lo vuelva a revivir, he quitado todo lo sospechoso.
En serio, muchas gracias la verdad que era un virus muy pesado :S... | |
|
|
|