| apocalipsis |  |
|
2010-04-16 00:40 - Respuestas: 14 - Tema nº: 2679286
Windows 7 Core Duo 2.4GHz, nVidia 9600 GT, 4GB RAM, 500 HDD.
Hola compañeros. Expongo el tema:
Bueno mi problema fueron un monton de trojanos que tenia en el pc y que aunque los borraba con el Malwarebytes, aparecian de nuevo.
Pase el MalwareBytes Antimalware totalmente actualizado, con licencia, escáner completo y en modo seguro. Me encontro bastantes virus, los elimino y cuando reinicie el pc parecio funcionar, pero con el paso del tiempo (normalmente unas horas) se volvieron a reproducir los virus... Y cuánto más reiniciaba el pc más se reproducian...
Además tenia la protección en tiempo real del Malwarebytes y cada dos por tres me decia: "intento de intrusion bloqueado de "tal" ip (y los nºos ip)". Tambien cada dos por tres me salia que ha bloqueado un archivo malicioso que estaba intentando modificar mi sistema, le daba a quarentena y cuando le apetecia me volvia a salir la misma advertencia con el mismo archivo ...
Entonces decidi formatear, y al dia siguiente me aparecen los mismos virus....
Tengo 2 discos duros internos instalados, para cuando formateo uno, dejar la info en el otro. ¿Puede ser que se me esten pasando los virus de un disco a otro?
Aqui os dejo el HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:26:19, on 16/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'Default user')
O13 - Gopher Prefix:
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe
End of file - 3039 bytes
Las filas en las que sale este archivo son virus: wuaucldt.exe
Pero ya os digo que aparece siempre de nuevo, aunque lo borre y lo elimine de la lista en el contro de inicio de windows...
Solo necesito saber con la seguridad de un experto que lineas debo borrar, porque el programa este puede cargarse archivos imprescindibles si no se usa con la supervision de un experto.
Gracias por vuestra ayuda. Un saludo.
| |
|
|
| apocalipsis | |
|
Re: Virus que aparece incluso despues de formatear. - 2010-04-16 00:44 - Respuesta 2
Se me olvido añadir que tras el formateo, solo instale el mozilla, el team speak 3, el malwarebytes, el winrar, el adobe reader y el combat arms (todos ellos desde las respectivas paginas oficiales) | |
|
|
| kmilo666666 |  |
|
Re: Virus que aparece incluso despues de formatear. - 2010-04-16 00:45 - Respuesta 3
talvez sea por los discos que te aparecen nuevamente. pasa todo esto por ambos discos:
Paso 1: Descargar e instalar los siguientes programas:
Spybot (Manual de uso aquí)
Superantispyware (Manual de uso aquí)
Ccleaner (Manual de uso aquí)
Unlocker (Para desbloquear archivos que no se pueden eliminar. Manual de uso aquí)
RegSeeker. (Este último no requiere instalación. Sólo hay que descomprimirlo y mover la carpeta a archivos de programa. Luego hay que crear un acceso directo del ejecutable en el escritorio)
Paso 2: Iniciar en modo seguro con funciones de red
Paso 3: Hacer una limpieza de archivos temporales con el Ccleaner
Paso 4: Actualizar el Superantispyware, y el Spybot
Paso 5: Escanear el equipo con el ad Superantispyware, y después con el Spybot y limpiar lo que te encuentren.
Paso 6: Escanear el equipo con algún antivirus en línea. Yo recomiendo alguno de estos: *
Panda antivirus on-line
Computer associates on-line
Trend micro on-line (Para usar éste, hay que tener instalado el Java)
Bit defender on-line
Nod32 on-line
Paso 7: Reiniciar nuevamente en modo seguro y escanear nuevamente con el Spybot y limpiar lo que encuentre
Paso 8: Hacer una limpieza de registro con el Regseeker
*Nota 1: Con excepción del Trend Micro on-line, el escaneo debe hacerse desde el Internet Explorer 6 o superior. No funciona en Firefox, Opera ni ningún otro navegador.
*Nota 2: Hasta donde tengo entendido, una función integrada en Windows vista (llamada sandbox), el escaneo on-line puede detectar los virus, pero no puede eliminarlos. Hay que eliminarlos manualmente cuando detecten algo.
luego dejas el log de hijack this
arreglando mi pc para correr assessins creed. | |
|
|
| marinalope |  |
|
Re: Virus que aparece incluso despues de formatear. - 2010-04-16 00:53 - Respuesta 4
Hola apocalipsis.Cierra todos los programas incluido el navegador,abre el HijackThis,pulsa do a system scan only y marca estas entradas:
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKUS\S-1-5-18\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'Default user')
Pulsa fix checked.
Con la opción mostrar archivos y carpetas ocultos activada,elimina manualmente lo siguiente:
c:\windows\system32\config\systemprofile\wuaucldt.exe
Si no se deja usa Unlocker o Fileassassin.
Pasa CCleaner y Reseeker para limpiar temporales y registro,reinicia,pega un nuevo log y coméntanos.
| |
|
|
| apocalipsis | |
|
Re: Virus que aparece incluso despues de formatear. - 2010-04-16 01:28 - Respuesta 5
Hola de nuevo.
Pues hice lo que comento el compañero "marinalope" y estamos en las mismas...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:24:38, on 16/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\System32\wuaucldt.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKLM\..\Run: [qwkclm] RUNDLL32.EXE C:\Windows\system32\msgnruna.dll,w
O4 - HKCU\..\Run: [syncman] c:\users\apocalipsis\wuaucldt.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe (User 'Default user')
O13 - Gopher Prefix:
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe
End of file - 3402 bytes
Al reiniciar el pc me ha salido un error que decia: el proceso de host ha sufrido un problema blablabal y debe cerrarse... Cosa que me decia tambien cuando se me metio el virus. Ademas como podeis ver en el nuevo log de HijackThis siguen estando las entradas ahi...
Y el malwarebytes sigue dandome alarmas de intrusiones...
Hago lo que me comento el compañero "kmilo666666"??
¿O quiza deberia quitar el disco duro interno en el que guardo la info, y formatear el nuevo a ver si sigue el virus?
Gracias. | |
|
|
|
