Necesito informacion sobre el inicio [URGENTE]

Iniciado por CAR3S?, 4 Octubre 2011, 17:12 PM

0 Miembros y 2 Visitantes están viendo este tema.

Randomize

Pon un log del hijackthis, ¡¡¡ sorpréndenos !!!  :D :D :D

Randomize

Por cierto... ¿estás usando un windows modificado?


Llámalo intuición...

79137913

HOLA!!!

Ya me acorde, el virus infecta a todos los ejecutables del disco duro, por eso figuran con "VIRUT" tenes que desinfectarlos :S.

GRACIAS POR LEER!!!
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

79137913                          *Shadow Scouts Team*

Arcano.

Buenas,

CitarC:\WINDOWS\SYSTEM32\INETSRV\PERFETET.DLL

Haciendo una búsqueda rápida por google, no sale nada. (Sospechoso)

El virus, si es el que yo creo, es posible que te haya creado algún "autorun" tanto en las unidades locales como en las extraíbles.

No iría mal que lo revisaras mendiante:

(1) CMD
(2) dir /as

A ver si te lista algún autorun.inf

Ya puestos, para asegurarnos que está limpio, podrías colgar un log de hijackthis. Si te lo deja ejecutar, casi seguro que el virus está, si no al completo, casi erradicado. En ese caso, lo dicho, podrías colgar el log y lo revisamos.

Saludos!

PD: Tampoco iría mal que deshabilitaras "Restaurar Sistema". Reiniciar y volver a activarlo. De ese modo, si hay alguna muestra del virus, también se borrará.

La curiosidad es la antesala al conocimiento...

CAR3S?

#14
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:05:  | Nico <3, on 05/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Archivos de programa\Steam\steam.exe
C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
C:\Archivos de programa\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Download Manager\IDMan.exe
C:\Archivos de programa\Internet Download Manager\IEMonitor.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\cmd.exe
D:\Para El Disco\Demas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1; ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Memory Cleaner] C:\Documents and Settings\nukje'\Datos de programa\KoshyJohn.com\MemClean\MemClean.exe boot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secure.vbs
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces  - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7A545C7-13DF-4E90-97D7-F29A45616F0A}: NameServer = 200.45.48.233,200.45.191.35
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Archivos de programa\Archivos comunes\Steam\SteamService.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 4658 bytes

Add: El secure.vbs es de 79137913 XDDDDDDDDDDD

Arcano.

Buenas,

Pues sí, parece que está todo limpio.

Aunque me resulta extraña esta entrada:

Citar
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118

Sencillamente indica que utilizaste -o utilizas- proxy en IE. Aunque sería ilógico direccionarlo hacia local. Por otro lado, también se observa:

CitarMSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

CitarC:\Archivos de programa\Mozilla Firefox\firefox.exe

Supongo que estarás usando Firefox. Ya que el IE es un poco antiguo... -Entiendo que te habrá resultado indiferente actualizarlo-.

Es posible que el virus afectara a IE, pero no a Firefox. Es posible que modificaras el valor tú mismo para realizar alguna prueba.

En fin, en cualquier caso: ¡Felicidades! Lo has solventado sin formatear.

Saludos.
La curiosidad es la antesala al conocimiento...

CAR3S?

jeje  y a mano xD!

Off: la concha de mi madre, me acaban de afanar....