Problema con Posible Virus

[Harukii]

Hola a todos

 

tengo un problema desde hace algun tiempo con un notebook:

no puedo ver los archivos ocultos ni acceder a internet, a lo que atine fue a hacer un archivo winrar en C:/ y me di cuenta que hay un archivo sospechoso el cual es:

 

9dllvtill.exe

 

busque sobre el en google y no me da ningun resultado que puedo hacer, porque lo he tratado de eliminar pero no hay caso, vuelve y vuelve

ojala alguien pueda ayudarme

ya probé con el Nod32 y con Avast! ... necesito ayuda

[J_VonCroix]

filip, a casi ningún antivirus le tengo fe, sin embargo, a los que mas o menos por que me parecen mas o menos confiables son el AVG y el Avira, ambos son gratuitos, sobre todo el último es muy bueno, el problema del último reside en que debe registrarse con internet.

 

Ahora, BestmanPi, coloco la vez pasada una aplicación muy buena que es el HijackThis, ejecutala y dale al botón Do a system scan and save a logfile copia el resultado para ver si existe algo raro. Tengo algunas cosillas para quitar virus pero tenemos que saber cual puede ser el posible causante.

 

Espero te sirva de algo.

HijackThis.rar

[Harukii]

aqui esta:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:41, on 13/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Windows\Temp\Rar$EX00.906\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Archivos de programa\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS.0\system32\olhrwef.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\wpdshserviceobj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS.0\System32\StkCSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe

[Danielinhoni]

Te voy a dar un consejo :

 

Hay una serie de programas elementales en ejecucion, si los miras

desde el Administrador de Tareas.

 

Mantén pulsado Ctrl+Alt, y pulsa Supr al mismo tiempo.

 

Abre la pestaña de procesos. Mira a ver si está el archivo 9dllvtill.exe.

Si está, sigue los pasos abajo.

 

ATENCION, LEE HASTA EL FINAL :

 

Selecciona cada proceso, y haz "Terminar proceso".

 

TODOS MENOS ESTOS, QUE SON LOS ELEMENTALES :

 

System Idle Process

 

System

 

winlogon.exe

 

services.exe

 

svchost.exe

 

spoolsv.exe

 

csrss.exe

 

hidserv.exe

 

MSTask.exe

 

WinMgmt.exe

 

taskmgr.exe

 

IEXPLORE.EXE

 

Explorer.EXE.

 

Intenta ahora los programas que no te iban.

 

Si te van, reinicia el ordenador, y sólo quita "9dllvtill.exe". Si te funciona, ya sabes al menos que es eso.

 

PD : Buscaste el nombre en google en casa de un amigo, no ? Como no te deja acceder a internet ...

[BestmanPi]

Ayer he estado todo el día peleándome con un problema que generé yo mismo y por el cual las actualizaciones automáticas de Windows me dejaron de funcionar hace unos días. Ahora que tya está solucionado, vamos a echar una mano a Don Filip.

 

Yo pienso que esto es trabajo para Malwarebytes.

 

http://malwarebytes.org/

 

Lo que ha dicho Danielinhoni es muy importante. Es decir que antes de pasar cualquier programa de limpieza, en este caso te recomiendo Malwarebytes, hay que cerrar los procesos sospechosos para evitar que puedan interferir en la detección. Algunos malwares bloquean a los programas que intentan detectarlos.

 

Tampoco estaría de más usar el MSCONFIG y desactivar todo lo que tengas activado en la pestaña INICIO

 

1.- Vas a Inicio>Ejecutar...

 

2.- Tecleas MSCONFIG

 

3.- Vas a la pestaña INICIO, de la ventana que se te abre, y desactivas todo.

 

4.- Le das a ACEPTAR y reinicias el PC.

 

Una vez hecho esto, haces lo que decía Danielnhoni y despues le pasas el Malwarebytes.

 

No me gusta apostar, pero estoy seguro de que así se te soluciona.

 

... y como digo siempre... No instaleis Antivirus, porque no sirven para nada. Cuando no hay virus, es bueno cualquier antivirus, pero cuando son necesarios, siempre nos dejan tirados.

[Harukii]

gracias por la ayuda chicos

 

respondiendo a Daniel, tenia ese archivo oculto en C:\ y me parecio extraño y lo elimine con la utilidad que dejo J_VonCroix y ya no me sale, pero aun va lentisimo y que queda pegado y no responde.

 

los procesos que tengo en el administrador de tareas son: (orden alfabético)

alg.exe

ashDisp.exe

ashMailSv.exe

aswUpdSv.exe

ATKOSD.exe

avast.setup

csrss.exe

ctfmon.exe

egui.exe

ekrn.exe

explorer.exe

HControl.exe

Isass.exe

Proceso inactivo del sistema

services.exe

smss.exe

spoolsv.exe

StkCSrv.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

SynTPEnh.exe

System

Taskmgr.exe

UnlockerAsistant.exe

WDC.exe

winlogon.exe

wuauclt.exe

 

y no, no busque el nombre en la casa de un amigo, estoy arreglando el notebook, gracias a Dios tengo el PC de escritorio sano y salvo

 

Best, en msconfig tengo lo siguiente:

 

Activado:

egui (lo voy a desactivar, ya no tengo el Nod 32)

UnlockerAssistan

SynTPenh

Hcontrol

ashDisp

ctfmon

Adobe Gamma Loader

 

Desactivado:

Reader_sl

ALCMTR

Ares

olhrwef

ctfmon

Language (de la carpeta \cyberlink power DVD)

msnmsgr

PDVDServ (de la carpeta \cyberlink power DVD)

RTHDCPL

Rundll32 (Rundll32.exe SiSPower.dll,ModeAgent)

SiSUSBrg

TaskSwitchXP

winampa

XP-158Fd012

¡¡¡¡¡¡ (C:/windows.0/system32/XP-158~1.exe)

Utility Tray

 

 

ahora voy a bajar el malware y hacer lo que dijo daniel

gracias por la ayuda

 

Edito:

 

ya lo hice y reinicie, pero aun va lento, puedo ver los archivos ocultos y de sistema, pero no puedo acceder a Messenger ni tampoco puedo abrir el panel de control

[Danielinhoni]

Utiliza este enlace para optimizar tu sistema : Registro de Windows - Mas dde 100 Trucos para optimizar tu PC

 

Dale las gracias a Best por el tema

 

EDIT : Tambien pasa el CCleaner, o cosas que liberen RAM.

Los programas en ejecucion (Procesos de los de antes) te consumen RAM. Quita los inútiles que no sean los

que nombré antes; alguno que consuma mucha RAM.

[J_VonCroix]

filip, mirando los procesos que colocaste veo que tienes el egui.exe que es el del nod32, pero también veo avast.setup; puede ser que las aplicaciones que tengan lento el antivirus es que tienes montado los dos al tiempo o quedo rastro de uno de los dos en el pc.

 

tal como dice, Danielinhoni, sería muy bueno que le pasaras el cCleaner (http://www.ccleaner.com/download), lo instalaras, le dieras en limpiador, luego al botón analizar y posteriormente Ejecutar limpiador.

 

 

[Harukii]

el Notebook tiene 2 Gb de ram, no deberia andar lento por procesos que en conjunto consumen 90 o 80 mb de memoria.

Tengo el CCleaner, lo use y me limpio todo l oque podia limpiar, aun asi tengo los problemas que tengo

lo del tema de Bestman lo hago siempre, con muy buenos resultados

tambien por el problema de MSN use la aplicacion que limpia de virus el programa, pero no hay caso, no quiere iniciar sesion ni instalar uno nuevo

[jjesus]

el Notebook tiene 2 Gb de ram, no deberia andar lento por procesos que en conjunto consumen 90 o 80 mb de memoria.

Tengo el CCleaner, lo use y me limpio todo l oque podia limpiar, aun asi tengo los problemas que tengo

lo del tema de Bestman lo hago siempre, con muy buenos resultados

tambien por el problema de MSN use la aplicacion que limpia de virus el programa, pero no hay caso, no quiere iniciar sesion ni instalar uno nuevo

 

 

te refieres a este http://www.msnvirusremoval.com/download.php .

 

usa el scaneo de active scan en linea resuelve muchos de los problemas. incluso te da la carpeta exacta donde se aloja el virus

[Harukii]

bueno, gracias por la ayuda pero ya nada se puede hacer...

lo deje estar todo el lunes pasado... voy el miercoles a prenderlo y chan... la pantalla se queda absolutamente en negro, no sale absolutamente nada, asique no quedara otra que mandarlo al servicio tecnico le meti el CD de windows a ver si resusitaba, pero nada ha pasado... windows no hace milagros ¬¬

[Danielinhoni]

Estaba el monitor encendido ?

[Harukii]

Estaba el monitor encendido ?

 

si Daniel, era un notebook asi que con tan solo un boton se prende todo... nunca tan caido del catree

si en cuanto lo prendia, trabajaba un poco, y despues ni siquiera sonaba nada, no habia ruido de ram, de disco duro, ni prendia la luz que indica que trabaja... si le meto un CD trabaja un poco, hasta que lo lee, pero no reacciona

[Danielinhoni]

A lo mejor se desmontó el volumen como el mio (No sé si se puede en portatiles o Notebooks), y tendras que llevarlo a la tienda de informaticos ...

[jjesus]

que pena, espero que no se haya dañado algun hadware, en fin esperamos tus comentarios al menos para saber que te paso , espero que no olvides el tema.