Desde esta tarde, tengo un virus / troyano / keylogger o lo que sea que me est´´a jodiendo la vida.

Como podeis ver, no puedo escribir acentos. Al principio pens´´e que era alg´´un cambio en la configuraci´´on regional pero, despu´´es de mucho revisarlo y de buscar en Internet, parece que es un p*** keylogger.

Lo cual ha venido a confirmarse cuando he hecho un netstat y me aparece la siguiente linea:

TCP miguel:1314 hosted-by.leaseweb.com:http CLOSE_WAIT 1168

Ese ultimo n´´umero, el 1168, es el PID del programa que me est´´a jodiendo la vida, pero corresponde al proceso svchost.exe, lo que indica que es un servicio.

Si cierro el servicio a cap´´on desde el administrador de tareas, me aperece la tipica ventana de que el equipo se est´´a apagando porque he finalizado un servicio de sistema.

He buscado en servicios y aplicaciones, pero no veo ning´´un servicio extraño.

He pasado el Spybot, pero no detecta nada. Tambi´´en he instalado el Avast, pero m´´as de lo mismo, aunque mientras lo ten´´ia instalado, me dej´´o de pasar lo de las tildes.

Despu´´es de mirar el listado de procesos y no ver nada raro, y de confirmar que no hab´´ia nada que se lanzara desde:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnceEx

Tampoco se est´´a iniciando desde el Menu de Inicio/Programas/Inicio
Empec´´e a pensar que pod´´ia estar en el inicio de sesi´´on de Windows.

Mir´´e en: HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon

En la entrada Shell ten´´ia el valor: explorer.exe rundll32.exe nwak.won. Mal rollo.

Dej´´e solo explorer.exe, que es lo normal y reinicio. Sigue sucediendo.

En la entrada Userinit, tengo el siguiente valor: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\mspbkq32.exe,

El segundo fichero NO existe en system32! Lo elimino, pero pulso F5 en el registro y al instante vuelve a aparece otra vez ese mismo valor!

Vale, el virus est´´a volviendo a poner el valor en el registro pero, ¿desde d´´onde **** est´´a iniciandose?

*****, que poca artes teneis.

Reinicia en modo a prueba de fallos, despues restauras el sistema a una version NO infectada, programas cualquier antivirus para que te haga un escaneo en arranque y ves si se ha solucionado.

Lo tuyo con los ordenadores es un tanto chungo, eh?

Mira aquí (http://www.forospyware.com/t56139.html), tienes que eliminar la entrada de userinit.exe y otra más que es un .cab parecido a esto http://....../epl49bf2.cab. Ese es el instalador del virus que se actualiza desde Internet. Puedes usar HijackThis para localizar y eliminar estas entradas.

Ah, desactiva antes Restaurar Sistema, sino se hace una copia de seguridad del virus.
Suerte

*****, que poca artes teneis.

Reinicia en modo a prueba de fallos, despues restauras el sistema a una version NO infectada, programas cualquier antivirus para que te haga un escaneo en arranque y ves si se ha solucionado.

Lo tuyo con los ordenadores es un tanto chungo, eh?
1. La opcion de restaurar el sistema la desactivo nada mas instalar Windows siempre, asi que esa la voy descartando, de momento, jeje.
2. No deje que el Avast hiciese escaneo al arranque porque iba a tardar un huevo, queria ver si lo localizaba antes a ojo pero, si no queda mas remedio, le pasare el antivirus.



Mira aquí (http://www.forospyware.com/t56139.html), tienes que eliminar la entrada de userinit.exe y otra más que es un .cab parecido a esto http://....../epl49bf2.cab. Ese es el instalador del virus que se actualiza desde Internet. Puedes usar HijackThis para localizar y eliminar estas entradas.

Ah, desactiva antes Restaurar Sistema, sino se hace una copia de seguridad del virus.
Suerte

Genial. He estado antes en esa pagina, pero parece que pase por alto esa informacion. Voy a echarle un vistazo y ya os contare.

Probare el hijackthis, a ver si me dice algo distinto.

Muchas gracias a ambos por las respuestas.

< - >
Premio para el que encuentra algo sospechoso:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:48:52, on 16/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programas\Sistema\Dm2\DM2.exe
C:\Programas\Sistema\SpeedFan\speedfan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programas\Sistema\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programas\Internet\Firefox\firefox.exe
D:\Miguel\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\mspbkq32.exe,
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programas\Internet\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programas\Internet\Java\lib\deploy\jqs\ie\jqs_p lugin.dll
O4 - HKCU\..\Run: [DM2] C:\Programas\Sistema\Dm2\DM2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programas\Sistema\SpeedFan\speedfan.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E652252B-FF6B-4E1F-B270-F25CB0984076}: NameServer = 192.168.0.111
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 2897 bytes

El DM2, el SpeedFan los he instalado yo.
El PnkBstrA.exe es el servicio del PunkBuster, un programa anticheat necesario para jugar al True Combat:Elite.

Lo unico raro es el mspbkq32.exe, pero como os he dicho antes, no existe!

Hombre, de virus entiendo poco, pero el primer sitio que miro son los programas que se arrancan al inicio ejecutando el msconfig y lo desactivo, tomando nota de su dirección, el siguiente es reinicio (a ser posible en modo a pruba de fallos) y paso a borrar el archivo sospechoso (de primeras lo dejo en la papelera, por si no era un programa malintencionado).
Así he solucionado dos o tres casos de virus... pero el antivirus es el más eficaz.

He instalado el Avast de nuevo, he dejado que haga un escaneo completo desde la ventana del session manager (antes del inicio de Windows, parecido al MS-DOS), y no ha encontrado NADA.

Eso si, mientras tengo instalado el Avast, no me pasa lo de los acentos. Eso si, tengo completamente desactivada la protección residente del Avast.

Esto no tiene ni pies ni cabeza... Si el antivirus NO está activo (aunque esté instalado), ¿por qué leches ahora ya no da por saco?

En fin, me cago en todos los virus del mundo y, sobre todo, en los anormales que dedican su tiempo en crearlos. :mad:

También me cago en los antivirus, esos programas que imitan tan fielmente el comportamiento de un virus, agotando los recursos del equipo en el que los instalas sin mejorar ni mucho menos la protección del mismo. :loco:

Si todo sigue así, mañana formateo y reinstalo. :canon2:

A ver si viene gekko y planta por aquí unos cuantos merecidos gekkodios.

Ya que reinstalas, que sea una version OEM, deja la proteccion permanente de avast, he instalante 1 firewall, y por el bien del mundo moderno, no uses cuenta en modo administrador.

Enserio, que haces con el ordenador??

Desde esta tarde, tengo un virus / troyano / keylogger o lo que sea que me est´´a jodiendo la vida.

Como podeis ver, no puedo escribir acentos. Al principio pens´´e que era alg´´un cambio en la configuraci´´on regional pero, despu´´es de mucho revisarlo y de buscar en Internet, parece que es un p*** keylogger.

Lo cual ha venido a confirmarse cuando he hecho un netstat y me aparece la siguiente linea:

TCP miguel:1314 hosted-by.leaseweb.com:http CLOSE_WAIT 1168

Ese ultimo n´´umero, el 1168, es el PID del programa que me est´´a jodiendo la vida, pero corresponde al proceso svchost.exe, lo que indica que es un servicio.

Si cierro el servicio a cap´´on desde el administrador de tareas, me aperece la tipica ventana de que el equipo se est´´a apagando porque he finalizado un servicio de sistema.

He buscado en servicios y aplicaciones, pero no veo ning´´un servicio extraño.

He pasado el Spybot, pero no detecta nada. Tambi´´en he instalado el Avast, pero m´´as de lo mismo, aunque mientras lo ten´´ia instalado, me dej´´o de pasar lo de las tildes.

Despu´´es de mirar el listado de procesos y no ver nada raro, y de confirmar que no hab´´ia nada que se lanzara desde:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnceEx

Tampoco se est´´a iniciando desde el Menu de Inicio/Programas/Inicio
Empec´´e a pensar que pod´´ia estar en el inicio de sesi´´on de Windows.

Mir´´e en: HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon

En la entrada Shell ten´´ia el valor: explorer.exe rundll32.exe nwak.won. Mal rollo.

Dej´´e solo explorer.exe, que es lo normal y reinicio. Sigue sucediendo.

En la entrada Userinit, tengo el siguiente valor: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\mspbkq32.exe,

El segundo fichero NO existe en system32! Lo elimino, pero pulso F5 en el registro y al instante vuelve a aparece otra vez ese mismo valor!

Vale, el virus est´´a volviendo a poner el valor en el registro pero, ¿desde d´´onde **** est´´a iniciandose?
tiene cojones ke aun sabiendo ke no salen los acentos, tu vayas y los pongas, dificultando aun mas la lectura del texto. XD

¡Se llama demostración empírica!

jajaja :quepalmo:

es el típico sdra64.exe

¡Se llama demostración empírica!
Claro, chavales, en eso consiste. :D

Pues nada, creo que voy a pasar del tema por hoy, que ya he quedado suficientemente mal. :D


Ya que reinstalas, que sea una version OEM, deja la proteccion permanente de avast, he instalante 1 firewall, y por el bien del mundo moderno, no uses cuenta en modo administrador.

Enserio, que haces con el ordenador?
Prefiero reinstalar el sistema una vez cada 6 meses (es un decir, porque no me suelen pasar estas cosas tan a menudo, aunque te sorprenda) que tener un p*to antivirus todo el día en ejecución leyendo el disco duro y memoria y tocando los webos.

A lo de no tener el sistema como Administrador, ahí te doy la razón, quizá de esa manera el virus lo tendría más complicado para instalarse, pero soy mu perro y me gusta tener acceso a todo el sistema en todo momento sin tener que hacer un cambio de usuario o empezar a ejecutar programas como Administrador con el comando "runas".

En fin, sé que me lo merezco, pero estos son mis principios (y ya sabeis que, si no os gustan, tengo otros!). :D





< ----------------------------------------------------- >





Finalmente, he conseguido eliminar el keylogger de mierda o lo que quiera que fuese. :D

Como os dije, mientras tenía instalado el Avast!, podía escribir acentos sin problemas.

La unidad de sistema ( C: ) la tengo en FAT32.

Volví a mirar el valor "Userinit" en HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon.

Seguía teniendo el valor: C:\windows\system32\userinit.exe,c:\windows\system 32\mspbkq32.exe.

Intenté quitar esa segunda parte del valor de userinit, pero seguía volviendo a aparecer.

He echado de nuevo un vistazo en c:\windows\system32, y esta vez si que estaba allí esperandome el virus de mierda, el mspbkq32.exe.

Aprovechando que tengo C: en FAT32, he reiniciado con un CD de arranque de Windows 98 (jajaja) y he renombrado el fichero mspbkq32.exe a mspbkq32.bak.

He reiniciado y, voila!, ya no aparece esa linea en el netstat!

He eliminado la segunda parte del userinit, y esta vez NO se ha vuelto a reestablecer!

He desinstalado el avast, he reiniciado, y ya está confirmado. Todo normal en el netstat nada más iniciar, el userinit está intacto y los acentos funcionan perfectamente.

Si alguien quiere el virus de mierda para hacer experimentos, que lo diga, jejeje. Lo tengo por aquí aislado bajo control con el nombre mspbkq32.putovirus.bak. :D

Hala! Ya puedo seguir navegando a pelo agusto! :lol:
Muchas gracias a todos por la ayuda, y espero que pueda servir de ayuda si a alguien le pasa algo parecido.

PD: No acabo de entender porque el fichero mspbkq32.exe no aparecía antes de instalar el Avast!, teniendo en cuenta que la unidad C está en FAT32 y lo estaba mirando con el Total Commander, en el que tengo habilitada la opción de mostrar ficheros ocultos y de sistema. ???

Comentario: si por lo que sea sospechas de un programa, pero al matarlo te sale la cuenta atrás para apagarse el ordenador, utiliza el comando "shutdown -a" (huelga decirlo, desde la consola). Abortará el reinicio/apagado.

Un saludo

El otro día arreglamos uno en el curro que le pasaba lo mismo.
Restauramos sistema y arreglado. Intentalo y espero que tengas suerte.
Ya nos cuentas