| Galvatron |  |
|
2007-04-01 00:26 - Respuestas: 5 - Tema nº: 2442209
Características: Windows 2000, Procesador 1.6gb memoria 256.
Hola
Instale recien el sistema operativo, puse el Avast y ya me esta registrando virus.
27/03/2007 19:34:53 Cobra 932 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
27/03/2007 19:43:32 Cobra 932 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
27/03/2007 19:43:32 SYSTEM 492 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
27/03/2007 19:43:32 SYSTEM 492 An error has occured while attempting to update. Please check the logs.
27/03/2007 20:04:58 SYSTEM 496 Sign of "Win32:Rbot-AUN [Trj]" has been found in "C:\WINNT\system32\directxbt.exe" file.
27/03/2007 20:05:13 SYSTEM 496 Sign of "Win32:Rbot-AUN [Trj]" has been found in "C:\WINNT\system32\directxbt.exe" file.
28/03/2007 4:46:12 SYSTEM 496 Sign of "Win32:SdBot-4142 [Trj]" has been found in "C:\WINNT\system32\lssys.exe" file.
28/03/2007 5:12:19 SYSTEM 496 Sign of "Win32:SdBot-4142 [Trj]" has been found in "C:\WINNT\system32\lssys.exe" file.
28/03/2007 5:21:06 SYSTEM 496 Sign of "Win32:SdBot-4142 [Trj]" has been found in "C:\WINNT\system32\lssys.exe" file.
28/03/2007 21:39:11 SYSTEM 496 Sign of "Win32:Rbot-CYW [Trj]" has been found in "C:\WINNT\system32\winlodlx.exe\[UPX]" file.
28/03/2007 21:39:18 SYSTEM 496 Sign of "Win32:Rbot-CYW [Trj]" has been found in "C:\WINNT\system32\winlodlx.exe\[UPX]" file.
28/03/2007 23:05:50 SYSTEM 492 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_87323.exe" file.
28/03/2007 23:05:55 SYSTEM 492 Sign of "Win32:SdBot-4084 [Trj]" has been found in "\\190.45.150.136\Admin$\eraseme_87323.exe" file.
28/03/2007 23:08:00 SYSTEM 492 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_87323.exe" file.
29/03/2007 11:36:35 SYSTEM 516 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_31526.exe" file.
29/03/2007 18:33:24 SYSTEM 524 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_28182.exe" file.
29/03/2007 19:04:14 SYSTEM 524 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_72562.exe" file.
30/03/2007 10:22:42 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_20422.exe" file.
30/03/2007 14:12:52 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\system32\eraseme_20422.exe" file.
31/03/2007 4:06:10 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_23020.exe" file.
31/03/2007 9:57:46 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_18018.exe" file.
31/03/2007 16:50:57 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\system32\eraseme_07267.exe" file.
31/03/2007 18:09:14 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_78710.exe" file.
31/03/2007 18:10:47 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\system32\eraseme_78710.exe" file.
31/03/2007 18:11:32 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\winnt\system32\eraseme_78710.exe" file.
31/03/2007 18:14:30 Cobra 1796 Sign of "Win32:Rbot-AUN [Trj]" has been found in "C:\WINNT\system32\directxbt.exe" file.
31/03/2007 18:19:58 Cobra 1796 Sign of "Win32:Rbot-CYW [Trj]" has been found in "C:\WINNT\system32\winlodlx.exe\[UPX]" file.
31/03/2007 18:20:45 SYSTEM 520 Sign of "Win32:SdBot-4084 [Trj]" has been found in "C:\WINNT\eraseme_86511.exe" file.
Pudiera un error? ¿que saben ustedes sobre estos virus?
Gracias
| |
|
|
| ruedas |  |
|
Re: Posible virus o error del antivirus? - 2007-04-01 00:40 - Respuesta 2
Hola Galvatron
Sigue estas indicaciones:
- Apaga Restaurar Sistema.
- Reinicia en Modo a prueba de fallos o Modo seguro.
-analiza el sistema con estos programas:
*Spybot Search & Destroy
*Ad-Aware
.-Haz un chequeo con los antivirus online
*KaspersKy
*Ewido
- Haz una limpieza del sistema (registro y temporales) usando:
*RegSeeker
*DiskCleaner
Si aún así no has solucionado el problema, usa HijackThis (De este último programa puedes pegar el log aquí. Usando la opción \"Do a systema scan and save logfile\".
Saludos
| |
|
|
| Galvatron | |
|
Re: Posible virus o error del antivirus? - 2007-04-01 07:57 - Respuesta 3
Recien formateada esta mugre y ya tengo la caga.
Ahora otro problema más
hice lo que me dijiste, modo a prueba de fallos etc, pero al tratar de entrar a windows 2000 normal me sale una pantalla azul con error.
hice todo, recuperacion de emergencia con el disco y nada.
me dice que tengo este archivo dañado CDR4_2K.SYS
NO TENGO IDEA.
Afortunadamente en el disco esclavo tenia instalado xp, por eso estoy en linea ahora.
Sobre el log que me registro el programa hickjack aqui va:
Logfile of HijackThis v1.99.1
Scan saved at 1:05:32, on 01/04/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Cobra\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [ACMWrapperV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\ACMWrapperV2.dll"
O4 - HKLM\..\RunOnce: [MediaPlayerV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\MediaPlayerV2.dll"
O4 - HKLM\..\RunOnce: [driversV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\driversV2.dll"
O4 - HKLM\..\RunOnce: [Cdbootable.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Cdbootable.dll"
O4 - HKLM\..\RunOnce: [cdDataPS.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdDataPS.dll"
O4 - HKLM\..\RunOnce: [cdExtra.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdExtra.dll"
O4 - HKLM\..\RunOnce: [cdmp3.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdmp3.dll"
O4 - HKLM\..\RunOnce: [database.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\database.dll"
O4 - HKLM\..\RunOnce: [ISO9660.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\ISO9660.dll"
O4 - HKLM\..\RunOnce: [Joliet.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Joliet.dll"
O4 - HKLM\..\RunOnce: [Udf.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Udf.dll"
O4 - HKLM\..\RunOnce: [creator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\creator.dll"
O4 - HKLM\..\RunOnce: [Translator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Translator.dll"
O4 - HKLM\..\RunOnce: [CDEngine.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\CDEngine.dll"
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINNT\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Download selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175039201449
O23 - Service: 10456 - Unknown owner - \\190.45.150.136\Admin$\eraseme_31526.exe (file missing)
O23 - Service: 12871 - Unknown owner - \\190.45.150.136\Admin$\system32\eraseme_20422.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
| |
|
|
| swissman |  |
|
Re: Posible virus o error del antivirus? - 2007-04-01 09:12 - Respuesta 4
hola, primero deberias poner el exe eun una carpeta, no en el escritorio.
Aranca en modo de fallos y con restauras sistema deshabilitado, Una vez hecho, lo ejecutas do a system scan only, marcas lo que indico y pulsas fix checked
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra \'Tools\' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINNT\web\related.htm
O23 - Service: 10456 - Unknown owner - 190.45.150.136\Admin$\eraseme_31526.exe (file missing)
O23 - Service: 12871 - Unknown owner - \190.45.150.136\\Admin$\system32\\eraseme_20422.exe (file missing)
-
luego sin reiniciar borras esta carpeta C:\WINNT\web\related.htm
y busca si tienes algun fichero eraseme en el disco duro, si esta lo borras
reincias en modo seguro, pasa el ccleaner y un antivirus actualizado u online, y vuelves a pegar el log,
lo del error que mensionas, he encontrado esto
http://support.microsoft.com/kb/821844/es
saludos
[Mensaje editado por efectdosmil con fecha: 01-04-2007 10:40:37]. | |
|
|
| Galvatron | |
|
Re: Posible virus o error del antivirus? - 2007-04-02 08:15 - Respuesta 5
Hola
Gracias por su ayuda.
Primero que nada el problema con CDR4_2K.SYS era la instalacion del puto reproductor windows media 9, lo desinstale en modo a prueba de fallos y pude entrar a windows.
Ahora sobre el otro tema de los virus, hice todo lo que me dijiste.
Modo a prueba de fallos, pase el antivirus y me detectaba un virus en la memoria.
Estaban esas cosas que mencionaste C:\WINNT\web\related.htm y dos archivos eraseme.
¿Que son esos archivos?
Pase el Hickjack, aqui va el log:
Logfile of HijackThis v1.99.1
Scan saved at 1:51:33, on 02/04/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [ACMWrapperV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\ACMWrapperV2.dll"
O4 - HKLM\..\RunOnce: [MediaPlayerV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\MediaPlayerV2.dll"
O4 - HKLM\..\RunOnce: [driversV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\driversV2.dll"
O4 - HKLM\..\RunOnce: [Cdbootable.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Cdbootable.dll"
O4 - HKLM\..\RunOnce: [cdDataPS.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdDataPS.dll"
O4 - HKLM\..\RunOnce: [cdExtra.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdExtra.dll"
O4 - HKLM\..\RunOnce: [cdmp3.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\cdmp3.dll"
O4 - HKLM\..\RunOnce: [database.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\database.dll"
O4 - HKLM\..\RunOnce: [ISO9660.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\ISO9660.dll"
O4 - HKLM\..\RunOnce: [Joliet.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Joliet.dll"
O4 - HKLM\..\RunOnce: [Udf.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Udf.dll"
O4 - HKLM\..\RunOnce: [creator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\creator.dll"
O4 - HKLM\..\RunOnce: [Translator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreatorAPI\Translator.dll"
O4 - HKLM\..\RunOnce: [CDEngine.dll] c:\winnt\system32\regsvr32.exe /s "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CDEngine\CDEngine.dll"
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINNT\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175039201449
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
Ahora al iniciar el windows normalmente me dice que tengo esto: C:\WINNT\system32\lssys.exe
Trojano.
Por ahora solo me daba aviso de eso.
Gracias | |
|
|
|
