| tordanxa |  |
|
2005-08-03 08:54 - Respuestas: 15 - Tema nº: 39427
Chafino pues parece ser que el alemod es otro nombre del smitfraud.c, debe de ser un resto. Pega el log y lo comprobamos.
Saludos | |
|
|
| virgos |  |
|
Re: Virus Alemod - 2005-08-03 09:14 - Respuesta 7
Hola Rahel:
A mi me ha pasado algo similar:
Ayer pasaba el panda y me detectaba un virus, pero al detectarlo se me bloqueaba y paraba en el archivo wininet.dll. El programa se me bloqueaba y el resto del ordenador funcionaba muy lento.
Posteriormente me di cuenta de que el archivo de windows, System 32 pesaba un montón de Gygas, tanto es así que casi ocupaba todo mi disco duro.
Pase el Easy Clineer y eliminé un montón de cosas, ahora ese archivo sólo me pesa unas 5 Gigas (puede ser que aun sea muy grande o entra dentro de la normalidad)...Luego me fui a un programa de scaneo online que me recomendaste y me pilló un bicho, y lo removió.....
Se puede decir que ahora el único problema que tengo es que el system 32 pesa bastante y que el panda cuando lo paso se me detiene en wininet.dll
Saludos y gracias | |
|
|
| chafino |  |
|
Re: Virus Alemod - 2005-08-03 12:04 - Respuesta 8
Pues pongo el log a ver...
Logfile of HijackThis v1.99.1
Scan saved at 12:00:27, on 03/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\CA\ETRUST~1\realmon.exe
C:\Archivos de programa\CA\eTrust Antivirus\eAVTrial.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Winamp\Winampa.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Azureus\Azureus.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\javaw.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [eAVTrial] C:\Archivos de programa\CA\eTrust Antivirus\eAVTrial.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\archivos de programa\valve\steam\steam.exe" -silent
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O23 - Service: Servidor de RPC de eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Servidor de tiempo real de eTrust Antivirus (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Servidor de tareas de eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Saludos y gracias | |
|
|
| tordanxa | |
|
Re: Virus Alemod - 2005-08-03 13:24 - Respuesta 9
El log está limpio. lo que se me ocurre es que cambies el archivo winnet.dll ya que lo tienes infectado, lo puedes descargar AQUÍ, lo tendrás que descomprimir y colocarlo en lugar del otro en system32.
Saludos, ya me dirás si funciona | |
|
|
| manuvigo | |
|
Re: Virus Alemod - 2005-08-11 17:21 - Respuesta 10
me pasa lo mismo que a ti, si has conseguido si has conseguido eliminar el W32/Alemod.e.dll te podias enrollar y decirme como lo has hecho,porfa con todos los pasos detallados,soy muy novato,espero que no estes de vacaciones chao | |
|
|
|
