odracir99 | |
| 2010-03-25 15:59 - Respuestas: 2 - Tema nº: 2672751
Windows XP Home 4 gb ram, Core 2 duo 2.8 .
Hola! he buscado por todos lados y no encuentro la solucion a este problema:
Hace mas de una semana que por un pendrive se me infecto la pc de un virus que actua en principio como el newfolder.exe, ocultando las carpetas del pendrive y creando .exe con los mismos nombres de carpetas, en ese momento tenia el Eset desactivado, por lo que no me di cuenta y me infecte. A diferencia del newfolder este no crea un exe dentro de cada carpeta en el disco duro, solo lo hacia en los pendrives que metia.
Por motivos de trabajo no pude formatear antes la pc, hasta que me di cuenta que cuando reinicie la pc, me salio antes de la pantalla de inicio de windows un mensaje que decia algo como C:\boot.ini not found.
Entro en el disco c y veo que efectivamente no esta, al igual que otros archivos, entro en los otros dos discos duros y resulta que el virus me borro todos los archivos que estaban sueltos, osea afuera. A las carpetas no les paso nada.
Para dolor de mi alma alli estaban los backup de mis 3 pc´s los cuales trate de recuperar con un programa de recuperacion de datos y fue imposible.
Al ver esto respalde los archivos del disco C (mis documentos, escritorio, etc) y respalde tambien el firefox, el perfil completo con FEBE.
Formateo la pc, reinstalo todo, paso el eset smart security actualizado a todos los discos duros y no detecta ningun virus. pues todo bien, empeze a trabajar , me fui a dormir y apague la pc, al otro dia regreso y la prendo y me pasa el mismo problema. Todo exactamente igual.
Hoy he vuelto a formatearla y me paso lo mismo, no se que virus sea por que nada me lo detecta, no es un autorun.inf que halla en algun disco duro por que uso el Smart Virus Remover y tampoco detecta nada. La verdad que no se que hacer, y agradeceria mucho vuestra ayuda
| |
|
|
odracir99 | |
|
Re: Virus que me borra el boot.ini - 2010-03-25 16:10 - Respuesta 2
Ah me he fijado que usan ek Hijackthis, aqui el log:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:38:35, on 25/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Archivos de programa\ESET\ESET Smart Security\egui.exe
C:\windows\RTHDCPL.EXE
C:\Archivos de programa\PenSecurity\PenSecurity.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe
C:\windows\system32\RUNDLL32.EXE
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\windows\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\Archivos comunes\Acronis\CDP\afcdpsrv.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\windows\system32\wuauclt.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe
C:\windows\system32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Messenger Plus Live Latin America Toolbar - {3612084b-0d56-49c2-8978-194f391919cd} - C:\Archivos de programa\Messenger_Plus_Live_Latin_America\tbMess.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Messenger Plus Live Latin America Toolbar - {3612084b-0d56-49c2-8978-194f391919cd} - C:\Archivos de programa\Messenger_Plus_Live_Latin_America\tbMess.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Documents and Settings\Administrador\Datos de programa\FlashGetBHO\FlashGetBHO3.dll
O3 - Toolbar: Messenger Plus Live Latin America Toolbar - {3612084b-0d56-49c2-8978-194f391919cd} - C:\Archivos de programa\Messenger_Plus_Live_Latin_America\tbMess.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PenSecurity] C:\Archivos de programa\PenSecurity\PenSecurity.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Servicio de Acronis Scheduler2 ] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Actualizar la licencia de ESET.lnk = C:\Archivos de programa\ESET\MiNODLogin\MiNODLogin.exe
O8 - Extra context menu item: Download all by FlashGet3 - C:\Documents and Settings\Administrador\Datos de programa\FlashGetBHO\GetAllUrl.htm
O8 - Extra context menu item: Download by FlashGet3 - C:\Documents and Settings\Administrador\Datos de programa\FlashGetBHO\GetUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://software.kuaiche.com
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Servicio de Acronis Scheduler2 (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\CDP\afcdpsrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\windows\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\windows\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\windows\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\windows\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\windows\system32\smlogsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\windows\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
End of file - 9435 bytes
| |
|
|
marinalope | |
|
Re: Virus que me borra el boot.ini - 2010-03-25 16:28 - Respuesta 3
Si lees las normas del foro verás que no está permitido prestar ayuda sobre software no original,como es el caso de tu sistema operativo.
No damos ningún soporte a software ilegal. Por un lado porque esta Web está totalmente en contra de la piratería y por otro por que en un software ilegal es totalmente imposible predecir su comportamiento. | |
|
|
|