| cerbero_oaf |  |
|
2005-09-05 21:04 - Respuestas: 9 - Tema nº: 41949
Hola!!! como va gente?, byueno les cuento mi inconveniente a ver si alguien puede ayudarme:
Hace cosa de 3 dias mi antivirus (AVG) detecto el sigguiente virus en mi PC: TROJAN HORSE DOWNLOADER SWIZZOR XV, me di cuenta que tenia un virus porque a cada rato en la barra de tareas me aparecia le iconito del Win Update, como que si estaba actualizando algo, pero llegaba al 33 % y quedaba ahi, el AVg supuestamente lo saco, pero el tema es que me sigue apareciendo ese icono en la barra de tareas y llega al 33 % y queda ahi, me di cuenta tambien que cuando se activa este icono se me ejecuta un proceso con el siguiente nombre: WUAUCLT.EXE, busque ese archivo y lo elimine, pero me sigue haciendo lo mismo, tambien desactive la restauracion de sistema, antes de eliminar dicho archivo, no hay claves de registro con ese nombre de archivo para eliminarlo tampoco.
Mi S.O es Win XP con SP2.
Agradeceria cualquer tipo deinformacion para sacarme esta molestia de encima.
Desde ya muchas gracias!. Saludos! | |
|
|
| luisitooo |  |
|
Re: Virus!!! - 2005-09-05 21:34 - Respuesta 2
Hola, proba lo siguiente, después decime como te fué: Inicio, Buscar, Todos los archivos y carpetas, la palabra WUAUCLT en el disco duro local, en teoría si tenes el problema que pienso, debería traerte dos archivos WUAUCLT y WUAUCLT1, borra el primero y renombra el segundo quitando el 1 (te quedaría solamente WUAUCLT) se entendió?
Cualquier duda, consulta. Suerte !
PD: Si es un troyano, te recomiendo hacer un scan online con el mcafee o el panda. Salu2 | |
|
|
| JoSeMi |  |
|
Re: Virus!!! - 2005-09-05 21:43 - Respuesta 3
Lo primero en estos casos es escanear de nuevo el sistema (completamente) usando dos antivirus diferentes a ser posible, puedes usar algunos de tipo on-line, como el Panda Activescan.
Recuerda que se deben emplear los antivirus con la característica "Restaurar Sistema" desactivada y a ser posible en "Modo a prueba de fallos" o "Modo seguro con funciones de red".
Si tras esto no se soluciona, descarga HijackThis, obtén un log y pégalo contestando a este mismo mensaje.
Saludos. | |
|
|
| cerbero_oaf | |
|
Re: Virus!!! - 2005-09-05 22:28 - Respuesta 4
Gracias a los dos, voy aprobar y ahora les cuento,
mientras tanto les dejo el log del Hijack:
Scan saved at 05:24:13 p.m., on 05/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Winamp\winamp.exe
D:\Ariel\Administrador Red\HijackThis 1.99\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyret.unne.edu.ar:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Adobe Acrobat Control for ActiveX - {CA8A9780-280D-11CF-A24D-444553540000} - C:\ARCHIV~1\Adobe\ACROBA~1.0\Acrobat\ActiveX\pdf.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125688137171
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46894C4C-AD5C-4C61-A7FD-7A4E6F333EA5}: NameServer = 168.96.152.226,200.10.202.3
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Saludos y muchas gracias! | |
|
|
| tordanxa |  |
|
Re: Virus!!! - 2005-09-05 22:36 - Respuesta 5
No, cerbero, el log del HIjackThis es lo último que tienes que poner tras hacer lo otro que te han dicho
Saludos | |
|
|
|
