• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software
 

como elimino virus win32/heur

hansook

New Member
he estado leyendo bastantes horas sobre este virus que en realidad me tiene arto chato :/, el log que me tira al scanear con HiJackThis es el siguiente:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:20, on 16-12-2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\Downloads\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [go.microsoft.com/fwlink/?LinkId=69157]MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896]Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ttp://go.microsoft.com/fwlink/?LinkId=54896]Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ttp://go.microsoft.com/fwlink/?LinkId=69157]MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Google Update] "C:\Users\hansook\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ttp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 3994 bytes

--------------------------------------------------------------------------
please espero que me puedan ayudar ya que recientemente accedi a formatear porque tenia el virus desde antes y este no fue eliminado :/, espero puedan ayudarme
de ante mano gracias!
 
saque algunos links ya que no me dejaba publicar el tema... gracias :S
 
Hola, necesitamos el log completo. Gracis
 
hola, el log anterior le saque solamentes los links... vere si funca con este:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:23, on 16-12-2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Windows\system32\conhost.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\notepad.exe
C:\Users\hansook\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 3624 bytes


este log es posterior a haber analizado con super-antispyware
 
Última edición:
Una cosa: ¿porque sabes que tienes ese virus: virus win32/heur?

Salu2
 
porque AVG me lo lanza como amenaza :S
ya he hecho varias cosas instale otro antivirus que es el avira Antivir personal y ese me llevo varios archivos a cuarentena :S, inicie con ubuntu para revisar y pense que lo habia borrado, pero sigue tirando una amenaza diciendo que avg esta infectado XD...

lo que elimine desde ubuntu fue la carpeta System Volume information que es la que trae configuraciones de el punto de restauracion y al parecer se ha solucionado desde ahi porque ya no tira amenazas al analizarlo, ya que antes lo hacia cada vez que analizaba :B
ahora si me puedes ayudar dejo el ultimo y el mas reciente log de hijackthis a ver si encuentras algo raro :S

ah y tambien tenia otro virus el sality.dropper algo asi ahora: nose si se ha eliminado ese tambien xdd


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:26, on 19-12-2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wuauclt.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\hansook\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O13 - Gopher Prefix:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 3866 bytes

es el log de hace algunos segundos despues de haber echo todo lo que te explique anteriormente... si ves algo raro plis espero puedas ayudarme xd gracias y este s
 
Ese log esta completamente limpio!!!!!
 
Hola hansook!

ah y tambien tenia otro virus el sality.dropper algo asi ahora: nose si se ha eliminado ese tambien xdd

.- El primer paso que debes efectuar es hacer un respaldo de lo mas importante que tengas en el ordenador, en cualquier caso, no respaldes ningún ejecutable, sólo archivos del tipo .JPG, .GIF, .BMP, .TXT, .MP3, .DOC, repito, ningún ejecutable, puesto si estás en lo cierto y tienes sality pululando por tu pc lo mas probable es que llegues al formateo; sality infecta todos los ejecutables, y una vez desinfectada la máquina, si es que se consigue, suele dejar el sistema muy inestable, siendo en la mayoría de los casos necesario formatear.

.- El segundo punto a tener en cuenta es que comentas que hace poco que has formateado por un problema similar, así que ojo con lo que instalas después de dejar la máquina limpia pues lo mas probable es que estés reinfectando tu máquina con algo que instalas, y que lleva "regalo".


Una vez puntualizado ésto, vamos a ver que se puede hacer:

Ve a esta página: How to disinfect my computer from Virus.Win32.Sality?

.- Descarga a tu escritorio:
  • SalityKiller.zip
  • Sality_RegKeys.zip

Extráelas en el propio escritorio, quedará el ejecutable de SalityKiller, la carpeta Sality_RegKeys y el acuerdo de licencia.

.- Ejecuta SalityKiller y espera a que termine de analizar, una vez finalizado, busca dentro de la carpeta Sality_RegKeys la clave de registro que concuerda con tu sistema operativo y la ejecutas.

.- Reinicia el PC.


.- Descarga Dr.Web CureIt!

.- Ejecuta Dr.Web CureIt!, primero el programa realizará un análisis rápido programado por defecto, luego de ésto deberás realizar un análisis completo. Si te detecta modificaciones en el fichero "hosts", procede a restaurarlo cuando te lo pregunte el programa.

.- Cura los ficheros infectados, si no se pueden curar los eliminas.

.- Terminado el análisis ve a "Archivo" -> "Grabar lista de Informes", guarda el reporte en el escritorio. Reinicia.

(El análisis con Dr.Web CureIt! suele tardar bastante, incluso horas, por lo que has de tener paciencia)



.- Realiza un análisis con Eset Online Scanner, lánzalo desde IE Explorer.

Marcas las siguientes casillas:

  • Eliminar las amenazas detectadas
  • analizar archivos

Haces clic en Configuración adicional y marcas las casillas:

  • Analizar en busca de aplicaciones potencialmente indeseables
  • Analizar en busca de aplicaciones potencialmente peligrosas
  • Activar la tecnoligía Anti-Stealth

Clic en el botón "Iniciar" para que descargue la base de firmas y luego empiece a analizar.

.- En tu próxima respuesta nos dejas los informes de Dr.Web CureIt! y ESET Online Scanner (este último lo puedes encontrar en C:\Archivos de programa\ESET\ESET Online Scanner\log)

Coméntanos como sigue tu PC, y sobretodo, no olvides respaldar tus documentos antes de comenzar el proceso, saludos!
 
Back
Arriba