w32.petch.B??

Corrí Spy-sweeper 5. Después de limpiar y reiniciar aparece en pantalla azul:
"No se encuentra autochk.exe...
Despareció el logo de Panda y no se deja ejecutar.

Instrucciones Manotipo:

El antivirus panda no se deja correr y debe reinstalarse.
Al reinstalarlo se desinstaló.
Corrí en línea el Panda y El Symantec de Norton y limpiaron el exploit.

--------------------------------------------------------------------------

Nuevas inst. deManotipo:

Bajé el programa Nod pero tampoco se deja instalar.

Encontré en regedit: HKEY_USERS/Software/Microsoft/Search assistant/ACMru/5603----002---REG_SZ-----W32.Petch.B


Mi logo:

Scan saved at 02:38:12 a.m., on 10/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Say the Time\SayTime.exe
C:\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
D:\PRESTO~1\PRESTO~1.exe
C:\Babylon\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\GetRight\getright.exe
C:\WINDOWS\webshots.scr
C:\GetRight\getright.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Archivos de programa\Outlook Express\msimn.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cnn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cnn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://cnn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\GetRight\xx2gr.dll
O2 - BHO: Annotis Mail IE Context Menu Extension - {5F186CB1-08C6-4034-8529-CDC625463D99} - C:\Emeris\SHARED~1\ANNSHE~1.DLL
O3 - Toolbar: WebFerret - {A58686ED-FC46-44C3-95C6-4A812AB776F1} - C:\WebFerret\FerretBand.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: IE Booster Toolbar - {38D2A281-0444-433C-9ED6-A2851795F32A} - C:\IE Booster 2\iebbar.dll
O3 - Toolbar: febooti ie&Zoom - {605F5EB4-E40B-4000-BD60-70CF5494ED9F} - C:\Febooti ieZoom\ieZoom.dll
O4 - HKLM\..\Run: [Say the Time] C:\Say the Time\SayTime.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [PrestoNotes] D:\PRESTO~1\PRESTO~1.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O4 - Startup: Webshots.lnk = C:\Webshots\Launcher.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: IE Booster Copy Meister - res://C:\IE Booster 2\ieb.dll/copy-wiz.ieb
O8 - Extra context menu item: IE Booster Interactive HTML Detective - res://C:\IE Booster 2\ieb.dll/contextmenu.ieb
O8 - Extra context menu item: IE Booster List Images - res://C:\IE Booster 2\ieb.dll/ImagesModule.ieb
O8 - Extra context menu item: IE Booster List Links - res://C:\IE Booster 2\ieb.dll/LinksModule.ieb
O8 - Extra context menu item: IE Booster Open Frame In New Window - res://C:\IE Booster 2\ieb.dll/open-frame-in-new-window.ieb
O8 - Extra context menu item: IE Booster Open Frame In This Window - res://C:\IE Booster 2\ieb.dll/open-frame-in-new-window.ieb
O8 - Extra context menu item: IE Booster Web Page Analyzer - res://C:\IE Booster 2\ieb.dll/element.ieb
O8 - Extra context menu item: Open with GetRight Browser - C:\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: show/hide IEB Toolbar - {9BE4715D-8249-4f24-9ED6-3F3543A5A221} - C:\IE Booster 2\iebbar.dll
O9 - Extra 'Tools' menuitem: IE Booster Toolbar - {9BE4715D-8249-4f24-9ED6-3F3543A5A221} - C:\IE Booster 2\iebbar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Page Analysis - {4FA30F6C-ABCD-3586-DCAB-40E23FB53737} - res://C:\IE Booster 2\ieb.dll/ieb2.ieb (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: IE Booster Web Page Analyzer - {4FA30F6C-ABCD-3586-DCAB-40E23FB53737} - res://C:\IE Booster 2\ieb.dll/ieb2.ieb (file missing) (HKCU)
O9 - Extra button: HTML Detective - {E1C111F0-6DDA-4200-B93E-8CA7AFA58D86} - res://C:\IE Booster 2\ieb.dll/contextmenu.ieb (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: IE Booster Interactive HTML Detective - {E1C111F0-6DDA-4200-B93E-8CA7AFA58D86} - res://C:\IE Booster 2\ieb.dll/contextmenu.ieb (file missing) (HKCU)
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: http://www.e-lunatic.host.sk
O15 - Trusted Zone: http://www.r3mteam.tk
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...ia/zoomviewer/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/237e35f4...dxIE601_es.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {958FCAB0-616B-11D3-A63F-00001B322780} (TimetickerLittleHelpers.usfServer) - http://www.timeticker.com/Timeset/TcpServer.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6A988D-CDB3-412F-92F6-CD0683A7892D}: NameServer = 200.75.78.78 200.13.224.8
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fix-It Task Manager - V Communications, Inc. - C:\Fix-It\mxtask.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service - Panda Software - (no file)
O23 - Service: Panda anti-virus service - Panda Software - (no file)
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Unknown - (no file)
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Gracias de nuevo!!!

Hola

Bueno, una cosa, no conozco a fondo el servicio de panda, pero el servicio online de Symantec no elimina los virus, al menos no hasta donde yo he probado, solo te dice que los tienes y te dice donde, pero no mucho más, para eliminarlos, debes tener una versión instalada en tu disco. Puede que las rarísimas veces que lo he usado y ha encontrado algo, simplemente no pudiera eliminarlo.

El autochk.exe es un programita que se ejecuta cada vez que windows arranca si la última vez que fué apagado no fué de manera normal.

Parte de las acciones del W32.Petch.B, es eliminar ese archivo, con lo que es normal que no lo encuentres.

Aquí tienes la página de Symantec en la que explican como eliminarlo, la mejor opción, es que descargues el antivirus, lo actualices y lo ejecutes en todo el sistema. Puede que debas hacer parte de la reparación manualmente.

Al parecer este troyano, altamente desctructivo, entra a través de los programas de irc tras descargar un archivo infectado, debes tener cuidado con esas cosas.

También parece que tienes el Zonealarm, lo cual está bien, deberías tener unos cuantos reportes de tu programa de irc tratándo de conectarse a una dirección de angelfire, bueno, los tendrás si usas mirc.

Bien, las cosa es que ya sabes como eliminarlo.

:)

Ya nos dirás si lo eliminaste

Suerte

Felicidad

Gracias PatomaS, que más quisiera yo que haberlo eliminado. Lo que sucede es que ningún antivirus se deja instalar y por lo tanto recurrí al scaneo online en Symantec y Panda.
Seguí las instrucciones de Symantec que me dejaste. Hurgando en regedit (buscar en mi PC) encuentro el virus en varias partes. ¿Debo eliminarlo del registro cada vez que aparezca? No lo he hecho por miedo a agravar la situación...
Gracias de nuevo

Hola

En efecto, has de eliminarlo de todas las ramas en las que lo veas, trata de seguir con cuidado los pasos de las instrucciones y no te pasará nada.

De todas maneras, recuerda hacer un respaldo de tu información.

Y como ese troyano parece bastante destructivo, yo no descartaría un formateo de la máquina.

Solo recuerda instalar después un antivirus, un fireall, algo para la prevención de spyware, algo para su eliminación y hacer al menos dos particiones, una para el sistema y una para los documentos.

Suerte

Felicidad

Gracias PatomaS, ya los borré después de hacer el backup del registro.
Ya no aparece el aviso de que falta el autochk.exe, pero sigo sin poder instalar algún antivirus. De resto, El PC funciona normalmente...
Tengo dos discos duros y antes de borrar guardé en el esclavo lo que no podía perder.
Tengo anti-espias y firewall, no uso ni Mirc, ni Messenger, sólo ICQ sin chat y sin enviar o recibir archivos, así es la vida...
Hmmm, ya no sé que más hacer...

Gracias de nuevo por tu interés en ayudarme...

Hola

Revisando la página de Symantec, veo que en este momento tienes borrados varios archivos y varias claves del registro, deberías reponerlos para que el sistema esté más estable.

Para reponerlos, debes utilizar el cd de instalación de tu sistema y para reponer las claves, debes usar el regedit.

Nuevamente es un proceso algo delicado y un pelín tedioso, pero hasta ahora lo has hecho muy bien.

:)

Suerte

Felicidad

PatomaS, hasta aquí entendía...
Me puedes explicar si no es problema para ti, qué archivos debo reponer?
Lo tedioso no me importa, tengo suficiente paciencia, pero la verdad no sé qué exactamente debo reponer...
¿Podrías ayudarme?
Muchas gracias

Hola

Primero vuelve a revisar tu sistema y asegúrate de que está limpio, una vez que estés segura de que no tienes nada nocivo dentro, revisa estos:

# %windir%\regedit.exe
# %windir%\system32\taskman.exe
# %windir%\system32\taskmgr.exe
# %windir%\system32\regedt32.exe
# %windir%\system32\regsvr32.exe
# %windir%\TASKMAN.exe
# C:\Windows\system32\userinit.exe

sustituye windir por c:\winnt.

Si los tienes, no hace falta que los sustituyas.

Felicidad

Gracias PatomaS, has tenido mucha paciencia conmigo, pero la verdad, si me puedes explicar paso a paso los parámetros y en dónde debo buscar..regedit? windows?...te lo agradecería mucho.
No me da miedo regedit, nunca he borrado nada que me haga daño pero no soy ninguna ingeniera de sistemas sólo una aficionada .
Las instrucciones de symantec las llevé a cabo sin problemas. He scaneado varias veces y no me aparece ningún bicho... .
Si no te da pereza estaré presta a seguir tus intrucciones.
Muchas, muchas gracias