Mi pc tiene un virus que al insertar una unidad Usb crea accesos directos

Estado
Cerrado para nuevas respuestas.

alejandro.aha1977

Miembro
Miembro
Escribo para ver si me puedes ayudar en un problema que tengo con una pc. Resulta que cada pen drive que meto lo infecta y hace que los archivos que tiene los convierta en accesos directos. Buscando en internet hay un programita que se corre por ms-dos con una linea de comandos que limpia el pen drive, o la unidad USB Esta es la instruccon que encuentro. (Lo primero que hacemos es ingresar al cmd, ubicarnos en nuestra memoria y escribir el siguiente comando Attrib /d /s -r -h -s *.*). Pero como te dije esa linea de comando solo limpia el pen drive.
El problema es que el Virus esta ya en memoria de mi pc, y cada pen drive que utilizo lo contamina. Me comentan que es obligatorio Hacer un formateo completo de la pc pero me parece absurdo. Que me recomiendan.
A continuacion logs Solicitados:

Log Eset Nod ONLINE
C:\Documents and Settings\Administrador\Datos de programa\MICROS~1.VBE VBS/Agent.NFP gusano no se ha podido desinfectar - archivo eliminado (después del próximo reinicio) - puesto en Cuarentena
C:\Documents and Settings\Administrador\Mis documentos\ANTIESPIAS\SUPERAntiSpyware.Professional.v5.6.1034.Multilingual.Incl.KeyGen-REiS\disable_activation.cmd BAT/HostsChanger.A aplicación potencialmente peligrosa eliminado - puesto en Cuarentena

Código:
[SPOILER][CODE]Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:14:41 a.m., on 20/05/2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Datos de programa\DIGITEL 3G\OnlineUpdate\ouc.exe
C:\Archivos de programa\FPSensor\bin\DpHost.exe
C:\Documents and Settings\All Users\Datos de programa\DatacardService\HWDeviceService.exe
C:\Archivos de programa\FPSensor\bin\iZHost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Archivos de programa\Panda USB Vaccine\USBVaccine.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Documents and Settings\Administrador\Mis documentos\Downloads\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.co.ve/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Visita www.landerextremo.s5.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Archivos de programa\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [bdruninstaller] "C:\Archivos de programa\Archivos comunes\Bitdefender\SetupInformation\downloader\setuplauncher.exe" /run:"C:\Archivos de programa\Archivos comunes\Bitdefender\SetupInformation\downloader\setupdownloader.exe" /args:"/after_restart"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Archivos de programa\Messenger\msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: RailNotification - winlogonnotification.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
O23 - Service: DIGITEL. OUC (DIGITEL. RunOuc) - Unknown owner - C:\Program Files\DIGITEL 3G\UpdateDog\ouc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: User Authentication Manager (DpHost) - DigitalPersona, Inc. - C:\Archivos de programa\FPSensor\bin\DpHost.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: HWDeviceService.exe - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\DatacardService\HWDeviceService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iZHost - ZKSoftware Inc - C:\Archivos de programa\FPSensor\bin\iZHost.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 8467 bytes
[/CODE][/SPOILER]
Código:
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Versión de la Base de Datos: v2014.05.19.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrador :: SECRETARIA3 [administrador]

Protección: Personas de movilidad reducida

20/05/2014 08:50:45 a.m.
mbam-log-2014-05-20 (08-50-45).txt

Tipos de Análisis: Análisis Completo (C:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 251619
Tiempo transcurrido: 1 hora(s), 11 minuto(s), 57 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 5
C:\Documents and Settings\Administrador\Mis documentos\ANTIESPIAS\MALW ANT BY ARK22\Malwarebytes Anti-Malware v1.75.0.1300\Keygen-BRD\Keygen.exe (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.
C:\System Volume Information\_restore{9BFF97DA-C20E-4C15-B005-E78CEE757583}\RP102\A0029901.exe (Hacktool.WPA) -> En cuarentena y eliminado con éxito.
C:\System Volume Information\_restore{9BFF97DA-C20E-4C15-B005-E78CEE757583}\RP103\A0030064.exe (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.
C:\System Volume Information\_restore{9BFF97DA-C20E-4C15-B005-E78CEE757583}\RP94\A0024702.exe (PUP.Optional.Conduit.A) -> En cuarentena y eliminado con éxito.
C:\System Volume Information\_restore{9BFF97DA-C20E-4C15-B005-E78CEE757583}\RP94\A0024709.exe (PUP.Optional.Conduit.A) -> En cuarentena y eliminado con éxito.

fin)
La pc tiene instalado el Avast antivirus, El Malwarebytes Anti-Malware v1.75.0.1300, El Superantispyware y le acabo de instalar un programa llamado Panda USB Vaciner.

De verdad estoy cansado de buscar como resolver el problema y son tres maquínas en mi trabajo que tengo con el mismo problema. Dispositivo USB que inserto, queda contaminado.
Si pueden ayudarme se los agradeceria
 

Kbite

Aprender y compartir
Administrador
Hola alejandro.aha1977 y bienvenido a los foros.

Te muevo al "Foro de Logs de HijackThis".

El log de HijackThis está limpio, no se detecta ninguna amenaza. El informe del Malwarebytes eliminó algúnos archivos incluido un keygen para este programa que quien sabe si puede formar parte del problema, nunca sabes que contienen esos ejecutables. Lo mismo hizo el OnLine de Eset con el keygen de SUPERAntiSpyware.

Si has instalado el "Panda USB Vacine" como te recomendé por MP debería ser suficiente para no volver a infectar al PC en el que se inserte, pero debes instalarlo en todas las máquinas en las que insertes un pendrive, esto hace que se elimine el "autorun" y no se autoejecute ningún archivo sin tu intervención.

Con los informes que tenemos a la vista no veo nada a eliminar, pero como se ha puesto en Cuarentena algún punto de restauración, deberías borrarlos todos para que el posible virus no se clone de nuevo si es eliminado, haz lo siguiente:

Desactivar Restaurar sistema

Una vez reinicies activas de nuevo la Restauración para que se cree un nuevo punto limpio y sin posibles virus.

Como que con lo visto no se ve malware algúno deberás utilizar esta herramienta y ver si algo más encuentra:

** Descarga la utilidad ComboFix ComboFix Download
** Desactiva temporalmente el Antivirus y/o Antispyware.

** Cierra todas las ventanas abiertas.

*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

** Ejecuta ComboFix.exe para iniciar el programa.

** Se abrirá la ventana del programa en modo MS-DOS. Pulsa inmediatamente la tecla "Y" (Yes) y después sobre ENTER para iniciar el proceso de detección y limpieza.

** Los iconos del Escritorio desaparecerán (esto es normal) y aparecerá el mensaje "Performing a scan of your machine".

** A continuación, aparecerá el mensaje "Preparing a log report" "This takes a while. So, please be patient".

** Seguidamente, aparecerán los mensajes "Almost done..." "A report of Combofix's actions would be produced at C:\Combofix.txt".

** Se paciente y espera a que la ventana del programa se cierre sola y se muestre el archivo C:\Combofix.txt. Los iconos del Escritorio volverán a su sitio sin necesidad de tener que reiniciar el PC.

** Por último, el informe combofix.txt mostrará los archivos detectados y eliminados, ese reporte lo pegas en tu respuesta.

** Cuando terminemos te daré instrucciones concretas para desinstalar el ComboFix.

En tu respuesta nos dejas el informe que te generará.

Te dejo una aplicación para desinfectar los pendrives USB: Flash Disinfector

Saludos, Kbite
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie