NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Estás infectado por 3 gusanos.
Este: >>
http://www.sophos.com/virusinfo/analyses/w32rbotgi.html
Este: >>
http://www.sophos.com.au/virusinfo/analyses/w32rbotez.html
y el otro no se cual será porque ese mismo nombre lo usan varios.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:
Mostrar archivos ocultos
Desactiva la opción de restaurar el sistema:
Como activar/desactivar restaurar el sistema
Reinicia el sistema en modo seguro:
Como reiniciar a prueba de fallos
Abre el administrador de tareas: <Ctrl>+<Alt>+<Sup>
De existir estos procesos termínalos (no deberían existir):
C:\WINDOWS\System32\Updatez.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\WINUPDATE.EXE
Cierra el administrador de tareas y vuelvelo a abrir para asegurarte que lo procesos no estén.
Inicia el HijackThis.
Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)
Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\msgr.es.es-la\msntb.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Update Mechene] Updatez.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] iexplore.exe
O4 - HKLM\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Mechene] Updatez.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] iexplore.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Update Mechene] Updatez.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] iexplore.exe
O4 - HKCU\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Elimina estos archivos:
C:\WINDOWS\System32\Updatez.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\WINUPDATE.EXE
C:\WINDOWS\System32\KEYLOGS.TXT
Reinicia desde cada cuenta de cada usuario, abre el editor de registro:
Inicio>escribes regedit y acepta.
Respalda primero el registro exportándolo como archivo.
Después navégalo hasta ubicarte en esta rama:
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
De existir elimina estas entradas:
[Microsoft Update Mechene] Updatez.exe
[$WindowsRegKey%update] iexplore.exe
[Microsoft Windows Updater] WINUPDATE.EXE
Después de repetir esto por cada usuario reinicia normalmente, y reactiva la opción de restaurar el sistema.
Estos gusanos realizan cambios adicionales en el registro que hay que revertir.
El primer cambio es desactivar el DCOM modificando esta clave:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
Sigue los pasos de este artículo de Microsoft para reactivar el DCOM
http://support.microsoft.com/default.aspx?...kb;es-es;825750
Use DCOMCNFG.EXE
Ejecute Dcomcnfg.exe.
Si está ejecutando Windows XP o Windows Server 2003, realice estos pasos adicionales:
Haga clic en el nodo Servicios de componentes, en Raíz de la consola.
Abra la carpeta Equipos.
Para el equipo local, haga clic con el botón secundario del mouse (ratón) en Mi PC y, después, haga clic en Propiedades.
Para un equipo remoto, haga clic con el botón secundario del mouse (ratón) en la carpeta Equipos, seleccione Nuevo y, a continuación, haga clic en Equipo.
Escriba el nombre del equipo.
Haga clic con el botón secundario del mouse (ratón) en el nombre del equipo y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Propiedades predeterminadas.
Haga clic para activar (o desactivar) la casilla de verificación Habilitar COM distribuido en este equipo.
Si desea configurar más propiedades para este equipo, haga clic en el botón Aplicar para habilitar (o deshabilitar) DCOM. En otro caso, haga clic en Aceptar para aplicar los cambios y cerrar Dcomcng.exe.
Reinicie el sistema operativo para que los cambios surtan efecto.
La otra entrada que cambian es esta:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Debes cambiar ese valor a 0
Información adicional aquí:
http://support.microsoft.com/default.aspx?...kb;es-es;246261
Despuésde revertir todos los cambios entras al Windows Update y actualiza tu sistema.
Por ultimo postea otro log.
PD:
lsass.exe es un archivo de sistema, no estás infectado por el Sasser y no se te ocurra eliminar ese archivo (de todo modo no creo lo logres eliminar así de facil)
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
