Foros del web, para los que viven de bits

CLAYMAN · 30-sep-2006, 09:57

Tengo instalado el Avast y Lavasoft Ad-Aware y tambien activado el firewall de XP. Resulta que nunca tuve problemas con virus en esta pc. El otro dia buscando un crack en esas paginas se metio un virus en mi pc (supongo que proviene desde ahi).
Bien, lo que sucede es que el Avast me dice cada 5 minutos que tengo un virus (Win32:Agent-VM[Trj]) y me recomienda moverlo al baul, pero yo directamente lo elimino y al rato vuelve a aparecer el cartel de dicho virus.
Lo cierto es que hasta ahora no ha interferido para nada en el funcionamiento del sistema por suerte, lo unico es que molesta la bocina del avast cada 5 minutos.
Ayer instale el HijackThis y ejecute el scan y probe de borrar algunas cosas... al se ve que borre cosas de mas porque despues no funcionaba la red. Bueno, tuve la posibilidad de restaurar todo eso y la red funciona, pero el virus sigue estando.
Aca pongo el logfile para que alguien pueda ayudarme, se los voy a agradecer muchisimo!:

Logfile of HijackThis v1.99.0
Scan saved at 12:49:28 p.m., on 30/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\netdde.exe
F:\En Windows XP\Avast4\aswUpdSv.exe
F:\En Windows XP\Avast4\ashServ.exe
F:\En Windows XP\VMware Workstation\vmware-authd.exe
E:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
E:\WINDOWS\System32\vmnat.exe
E:\WINDOWS\System32\vmnetdhcp.exe
F:\En Windows XP\Avast4\ashMaiSv.exe
F:\En Windows XP\Avast4\ashWebSv.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\htpatch.exe
F:\ENWIND~1\Avast4\ashDisp.exe
F:\En Windows XP\Ad-Aware SE Professional\Ad-Watch.exe
F:\En Windows XP\eMule\eMule.exe
E:\Archivos de programa\Mozilla Firefox\firefox.exe
F:\En Windows XP\HijackThis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] E:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [avast!] F:\ENWIND~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 772174] rundll32 sxs.dll,SxspRunDllDeleteDirectory E:\WINDOWS\WinSxS\InstallTemp\772174
O4 - HKCU\..\Run: [AWMON] "F:\En Windows XP\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [msnmsgr] "E:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{885F28EA-73F3-421D-83BF-CB1B65FA1269}: NameServer = 200.51.211.7,200.51.212.7
O23 - Service: avast! iAVS4 Control Service - Unknown - F:\En Windows XP\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - F:\En Windows XP\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\En Windows XP\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\En Windows XP\Avast4\ashWebSv.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - E:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - E:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - E:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - E:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - E:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - E:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - E:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - E:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - E:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - E:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - E:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - E:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - E:\WINDOWS\System32\tlntsvr.exe
O23 - Service: VMware Authorization Service - VMware, Inc. - F:\En Windows XP\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service - VMware, Inc. - E:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended - VMware, Inc. - E:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - E:\WINDOWS\System32\vmnat.exe
O23 - Service: Instantáneas de volumen - Unknown - E:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Log - Unknown - E:\WINDOWS\system32\nvsvcd.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - E:\WINDOWS\System32\wbem\wmiapsrv.exe

Gpastor · 01-oct-2006, 12:47

Hola CLAYMAN, la versión de Hijackthis que estás utilizando es una versión antigua, descarga e instala la versión 1.99.1 y pega tu nuevo log para su análisis.

Saludos

javioreto · 01-oct-2006, 15:10

saludos, debes eliminar las siguientes entradas:

O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 772174] rundll32 sxs.dll,SxspRunDllDeleteDirectory E:\WINDOWS\WinSxS\InstallTemp\772174
O17 - HKLM\System\CCS\Services\Tcpip\..\{885F28EA-73F3-421D-83BF-CB1B65FA1269}: NameServer = 200.51.211.7,200.51.212.7

(esta última nunca la habia visto, pero tiendo a desconfiar de todo lo que me parece raro, espera a una segunda opinón sobre esta entrada.)

Gpastor · 01-oct-2006, 15:53

Cita:

Iniciado por javioreto

(esta última nunca la habia visto, pero tiendo a desconfiar de todo lo que me parece raro, espera a una segunda opinón sobre esta entrada.)

Las entradas 017 pertenecen a las DNS, no se le debe dar Fix a menos que estés seguro de que se trata. Para verificar la autenticidad de las DNS puedes verificarla en esta página.

Por cierto te falto marcar esta entrada

O23 - Service: Windows Log - Unknown - E:\WINDOWS\system32\nvsvcd.exe

Y es preferible usar la nueva versión como comenté en mi anterior post

Saludos

CLAYMAN · 03-oct-2006, 20:06

Muchas gracias por su ayuda!!!!!! Me tome unos dias para estar seguro de que el virus no iba a aparecer mas.... ya esta erradicado por completo.

Muchas gracias!!

30-sep-2006, 09:57	#1 (permalink)
CLAYMAN Fecha de Ingreso: agosto-2004 Mensajes: 44	Virus que no puedo sacar. Ayuda! Tengo instalado el Avast y Lavasoft Ad-Aware y tambien activado el firewall de XP. Resulta que nunca tuve problemas con virus en esta pc. El otro dia buscando un crack en esas paginas se metio un virus en mi pc (supongo que proviene desde ahi). Bien, lo que sucede es que el Avast me dice cada 5 minutos que tengo un virus (Win32:Agent-VM[Trj]) y me recomienda moverlo al baul, pero yo directamente lo elimino y al rato vuelve a aparecer el cartel de dicho virus. Lo cierto es que hasta ahora no ha interferido para nada en el funcionamiento del sistema por suerte, lo unico es que molesta la bocina del avast cada 5 minutos. Ayer instale el HijackThis y ejecute el scan y probe de borrar algunas cosas... al se ve que borre cosas de mas porque despues no funcionaba la red. Bueno, tuve la posibilidad de restaurar todo eso y la red funciona, pero el virus sigue estando. Aca pongo el logfile para que alguien pueda ayudarme, se los voy a agradecer muchisimo!: Logfile of HijackThis v1.99.0 Scan saved at 12:49:28 p.m., on 30/09/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\netdde.exe F:\En Windows XP\Avast4\aswUpdSv.exe F:\En Windows XP\Avast4\ashServ.exe F:\En Windows XP\VMware Workstation\vmware-authd.exe E:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe E:\WINDOWS\System32\vmnat.exe E:\WINDOWS\System32\vmnetdhcp.exe F:\En Windows XP\Avast4\ashMaiSv.exe F:\En Windows XP\Avast4\ashWebSv.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\htpatch.exe F:\ENWIND~1\Avast4\ashDisp.exe F:\En Windows XP\Ad-Aware SE Professional\Ad-Watch.exe F:\En Windows XP\eMule\eMule.exe E:\Archivos de programa\Mozilla Firefox\firefox.exe F:\En Windows XP\HijackThis\HijackThis.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] E:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [avast!] F:\ENWIND~1\Avast4\ashDisp.exe O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 772174] rundll32 sxs.dll,SxspRunDllDeleteDirectory E:\WINDOWS\WinSxS\InstallTemp\772174 O4 - HKCU\..\Run: [AWMON] "F:\En Windows XP\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [msnmsgr] "E:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{885F28EA-73F3-421D-83BF-CB1B65FA1269}: NameServer = 200.51.211.7,200.51.212.7 O23 - Service: avast! iAVS4 Control Service - Unknown - F:\En Windows XP\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown - F:\En Windows XP\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - F:\En Windows XP\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - F:\En Windows XP\Avast4\ashWebSv.exe O23 - Service: Servicio del administrador de discos lógicos - Unknown - E:\WINDOWS\System32\dmadmin.exe O23 - Service: Registro de sucesos - Unknown - E:\WINDOWS\system32\services.exe O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - E:\WINDOWS\System32\imapi.exe O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - E:\WINDOWS\System32\mnmsrvc.exe O23 - Service: DDE de red - Unknown - E:\WINDOWS\system32\netdde.exe O23 - Service: DSDM de DDE de red - Unknown - E:\WINDOWS\system32\netdde.exe O23 - Service: Plug and Play - Unknown - E:\WINDOWS\system32\services.exe O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - E:\WINDOWS\system32\sessmgr.exe O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - E:\WINDOWS\System32\SCardSvr.exe O23 - Service: Tarjeta inteligente - Unknown - E:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - E:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe O23 - Service: Registros y alertas de rendimiento - Unknown - E:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet - Unknown - E:\WINDOWS\System32\tlntsvr.exe O23 - Service: VMware Authorization Service - VMware, Inc. - F:\En Windows XP\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - E:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended - VMware, Inc. - E:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - E:\WINDOWS\System32\vmnat.exe O23 - Service: Instantáneas de volumen - Unknown - E:\WINDOWS\System32\vssvc.exe O23 - Service: Windows Log - Unknown - E:\WINDOWS\system32\nvsvcd.exe O23 - Service: Adaptador de rendimiento de WMI - Unknown - E:\WINDOWS\System32\wbem\wmiapsrv.exe

01-oct-2006, 12:47	#2 (permalink)
Gpastor Moderador Fecha de Ingreso: octubre-2003 Ubicación: Callao - Perú Mensajes: 3.058	Hola CLAYMAN, la versión de Hijackthis que estás utilizando es una versión antigua, descarga e instala la versión 1.99.1 y pega tu nuevo log para su análisis. Saludos __________________ <Forospyware> - <ASAP Member>

01-oct-2006, 15:10	#3 (permalink)
javioreto Fecha de Ingreso: enero-2005 Ubicación: C:\España\Bilbao Mensajes: 1.053	saludos, debes eliminar las siguientes entradas: O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 772174] rundll32 sxs.dll,SxspRunDllDeleteDirectory E:\WINDOWS\WinSxS\InstallTemp\772174 O17 - HKLM\System\CCS\Services\Tcpip\..\{885F28EA-73F3-421D-83BF-CB1B65FA1269}: NameServer = 200.51.211.7,200.51.212.7 (esta última nunca la habia visto, pero tiendo a desconfiar de todo lo que me parece raro, espera a una segunda opinón sobre esta entrada.) __________________ Yin-Yan Software - Diseño y Desarrollo Web http://www.yin-yan.es Pedrosa de Valdeporres - Web de turismo rural http://pedrosa.yin-yan.es

01-oct-2006, 15:53	#4 (permalink)
Gpastor Moderador Fecha de Ingreso: octubre-2003 Ubicación: Callao - Perú Mensajes: 3.058	Cita: Iniciado por javioreto (esta última nunca la habia visto, pero tiendo a desconfiar de todo lo que me parece raro, espera a una segunda opinón sobre esta entrada.) Las entradas 017 pertenecen a las DNS, no se le debe dar Fix a menos que estés seguro de que se trata. Para verificar la autenticidad de las DNS puedes verificarla en esta página. Por cierto te falto marcar esta entrada O23 - Service: Windows Log - Unknown - E:\WINDOWS\system32\nvsvcd.exe Y es preferible usar la nueva versión como comenté en mi anterior post Saludos __________________ <Forospyware> - <ASAP Member>

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

03-oct-2006, 20:06	#5 (permalink)
CLAYMAN Fecha de Ingreso: agosto-2004 Mensajes: 44	Muchas gracias por su ayuda!!!!!! Me tome unos dias para estar seguro de que el virus no iba a aparecer mas.... ya esta erradicado por completo. Muchas gracias!!