1. Este sitio usa cookies. Para continuar usando este sitio, se debe aceptar nuestro uso de cookies. Más información.
  2. Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies
  3. Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies

como elimino virus win32/heur

Tema en 'LOGS HIJACKTHIS!' iniciado por hansook, 16 Dic 2011.

  1. hansook

    hansook New Member

    Registrado:
    16 Dic 2011
    Mensajes:
    4
    Me Gusta recibidos:
    0
    Puntos:
    0
    he estado leyendo bastantes horas sobre este virus que en realidad me tiene arto chato :/, el log que me tira al scanear con HiJackThis es el siguiente:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:59:20, on 16-12-2011
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\taskhost.exe
    C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\rundll32.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\Downloads\HiJackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [go.microsoft.com/fwlink/?LinkId=69157]MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896]Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ttp://go.microsoft.com/fwlink/?LinkId=54896]Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ttp://go.microsoft.com/fwlink/?LinkId=69157]MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [Google Update] "C:\Users\hansook\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ttp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    --
    End of file - 3994 bytes

    --------------------------------------------------------------------------
    please espero que me puedan ayudar ya que recientemente accedi a formatear porque tenia el virus desde antes y este no fue eliminado :/, espero puedan ayudarme
    de ante mano gracias!
  2. hansook

    hansook New Member

    Registrado:
    16 Dic 2011
    Mensajes:
    4
    Me Gusta recibidos:
    0
    Puntos:
    0
    saque algunos links ya que no me dejaba publicar el tema... gracias :S
  3. razor

    razor Administrator Miembro del Staff

    Registrado:
    21 Sep 2007
    Mensajes:
    12.646
    Me Gusta recibidos:
    0
    Puntos:
    36
    Hola, necesitamos el log completo. Gracis
  4. hansook

    hansook New Member

    Registrado:
    16 Dic 2011
    Mensajes:
    4
    Me Gusta recibidos:
    0
    Puntos:
    0
    hola, el log anterior le saque solamentes los links... vere si funca con este:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:57:23, on 16-12-2011
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Safe mode with network support

    Running processes:
    C:\Windows\Explorer.EXE
    C:\Windows\system32\ctfmon.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\AVG\AVG8\avgui.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Program Files\AVG\AVG8\avgscanx.exe
    C:\Windows\system32\conhost.exe
    C:\Program Files\AVG\AVG8\avgcsrvx.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\notepad.exe
    C:\Users\hansook\Downloads\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    --
    End of file - 3624 bytes


    este log es posterior a haber analizado con super-antispyware
    Última edición: 16 Dic 2011
  5. razor

    razor Administrator Miembro del Staff

    Registrado:
    21 Sep 2007
    Mensajes:
    12.646
    Me Gusta recibidos:
    0
    Puntos:
    36
    Una cosa: ¿porque sabes que tienes ese virus: virus win32/heur?

    Salu2
  6. hansook

    hansook New Member

    Registrado:
    16 Dic 2011
    Mensajes:
    4
    Me Gusta recibidos:
    0
    Puntos:
    0
    porque AVG me lo lanza como amenaza :S
    ya he hecho varias cosas instale otro antivirus que es el avira Antivir personal y ese me llevo varios archivos a cuarentena :S, inicie con ubuntu para revisar y pense que lo habia borrado, pero sigue tirando una amenaza diciendo que avg esta infectado XD...

    lo que elimine desde ubuntu fue la carpeta System Volume information que es la que trae configuraciones de el punto de restauracion y al parecer se ha solucionado desde ahi porque ya no tira amenazas al analizarlo, ya que antes lo hacia cada vez que analizaba :B
    ahora si me puedes ayudar dejo el ultimo y el mas reciente log de hijackthis a ver si encuentras algo raro :S

    ah y tambien tenia otro virus el sality.dropper algo asi ahora: nose si se ha eliminado ese tambien xdd


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:40:26, on 19-12-2011
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\wuauclt.exe
    C:\program files\avira\antivir desktop\avcenter.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\rundll32.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\hansook\Downloads\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O13 - Gopher Prefix:
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    --
    End of file - 3866 bytes

    es el log de hace algunos segundos despues de haber echo todo lo que te explique anteriormente... si ves algo raro plis espero puedas ayudarme xd gracias y este s
  7. razor

    razor Administrator Miembro del Staff

    Registrado:
    21 Sep 2007
    Mensajes:
    12.646
    Me Gusta recibidos:
    0
    Puntos:
    36
    Ese log esta completamente limpio!!!!!
  8. indy

    indy Super Moderador@s

    Registrado:
    28 Sep 2007
    Mensajes:
    2.633
    Me Gusta recibidos:
    0
    Puntos:
    36
    Hola hansook!

    .- El primer paso que debes efectuar es hacer un respaldo de lo mas importante que tengas en el ordenador, en cualquier caso, no respaldes ningún ejecutable, sólo archivos del tipo .JPG, .GIF, .BMP, .TXT, .MP3, .DOC, repito, ningún ejecutable, puesto si estás en lo cierto y tienes sality pululando por tu pc lo mas probable es que llegues al formateo; sality infecta todos los ejecutables, y una vez desinfectada la máquina, si es que se consigue, suele dejar el sistema muy inestable, siendo en la mayoría de los casos necesario formatear.

    .- El segundo punto a tener en cuenta es que comentas que hace poco que has formateado por un problema similar, así que ojo con lo que instalas después de dejar la máquina limpia pues lo mas probable es que estés reinfectando tu máquina con algo que instalas, y que lleva "regalo".


    Una vez puntualizado ésto, vamos a ver que se puede hacer:

    Ve a esta página: How to disinfect my computer from Virus.Win32.Sality?

    .- Descarga a tu escritorio:
    • SalityKiller.zip
    • Sality_RegKeys.zip

    Extráelas en el propio escritorio, quedará el ejecutable de SalityKiller, la carpeta Sality_RegKeys y el acuerdo de licencia.

    .- Ejecuta SalityKiller y espera a que termine de analizar, una vez finalizado, busca dentro de la carpeta Sality_RegKeys la clave de registro que concuerda con tu sistema operativo y la ejecutas.

    .- Reinicia el PC.


    .- Descarga Dr.Web CureIt!

    .- Ejecuta Dr.Web CureIt!, primero el programa realizará un análisis rápido programado por defecto, luego de ésto deberás realizar un análisis completo. Si te detecta modificaciones en el fichero "hosts", procede a restaurarlo cuando te lo pregunte el programa.

    .- Cura los ficheros infectados, si no se pueden curar los eliminas.

    .- Terminado el análisis ve a "Archivo" -> "Grabar lista de Informes", guarda el reporte en el escritorio. Reinicia.

    (El análisis con Dr.Web CureIt! suele tardar bastante, incluso horas, por lo que has de tener paciencia)



    .- Realiza un análisis con Eset Online Scanner, lánzalo desde IE Explorer.

    Marcas las siguientes casillas:

    • Eliminar las amenazas detectadas
    • analizar archivos

    Haces clic en Configuración adicional y marcas las casillas:

    • Analizar en busca de aplicaciones potencialmente indeseables
    • Analizar en busca de aplicaciones potencialmente peligrosas
    • Activar la tecnoligía Anti-Stealth

    Clic en el botón "Iniciar" para que descargue la base de firmas y luego empiece a analizar.

    .- En tu próxima respuesta nos dejas los informes de Dr.Web CureIt! y ESET Online Scanner (este último lo puedes encontrar en C:\Archivos de programa\ESET\ESET Online Scanner\log)

    Coméntanos como sigue tu PC, y sobretodo, no olvides respaldar tus documentos antes de comenzar el proceso, saludos!

Compartir esta página