W32.Autex.C ayuda estoy desesperado! :(

Hola a todos este es mi primer mensaje, tengo este virus http://securityresponse.symantec.com...2.autex.c.html y no se que hacer. He seguido todos los pasos que venian en esa pagina, menos lo de quitar el system restore ya q no uso XP ni ME, tengo win98 y no tengo esa opcion. He pasado los mejores Antivirus, Panda,Kavpersky y Norton...he borrado las entradas de registro y he eliminado el ejecutable del proceso q estaba en C:/Windows/smss.exe. Pero a la nada, vuelve a salir y todos los registros se vuelven a poner como antes. Los antivirus no detectan nada, me di cuenta ayer porque al querer entrar en el navegador me decia que iexplore.com no podia abrir el tipo de archivo asociado para el internet explorer, y al poner en el google iexplore.com encontre lo relacionado con el dicho virus o troyano. Ayuda por favor estoy desesperado y no quiero hacerme la idea de tener que cambiar de sistema operativo por eso :(

consiguete la escarga del BITDEFENDER... hay por ahi una version gratuita del antivirus, me parece que es la version 8 del mismo, claro está que esta no incluye el firewall y demas tonterias, correlo y te dara resultados diferentes.

otra pregunta, has hecho la desinfecion con el Panda Platinium Internet Securitie actualizado,en lo particular me ha sacado de varios apuros, checalo...

si puedes, intenta la navegacion con el FIREFOX, con la consigna de que no podras trabajar con paginas queusen los controles ACTIVEX, por cuestiones obvias..

Fijate que no es un virus sino un gusano (si realmente es eso lo que te infecto), lo unico que tenes que hacer es seguir las instrucciones de esa pagina. Lo mas importante es evitar que se ejecute al iniciar la maquina y eso lo haces borrando la entrada del registro que se crea en \Run\ y \RunServices\, matar el gusano si esta en ejecucion y despues borrar todos los archivos.

Pero si el caso es que he pasado to los mejores antivirus en modo a prueba de fallos, y no lo pillan... he borrado todas las entradas del registro y vuelve a salir, ya no se que hacer :(

¿Estas completamente seguro de que es ese gusano, verdad? Si es asi, dame un rato y te doy un programita para solucionar el problema.

Si si, es el unico segun he leido que hace lo que me esta haciendo. Lo de pasar el antivirus en modo normal o a prueba de fallos no funciona, esque no pilla nada, y no he pasado solo 1. Lo de eliminar el registro tb lo he echo ya como 10 veces pero enseguida vuelve a aparecer el smss.exe en el proceso y modifica de nuevo el registro. He limpiao el registro con regseeker y tampoco sirve, he bloqueado el acceso de ese virus al registro con la aplicacion del spybot, pero nada de eso sirve. Por lo que deduzco esque el virus tiene que tener alguna copia de seguridad por otro lado, que es el que crea el smss.exe en C:/Windows en modo oculto y lo ejecuta para que salga en la barra de procesos, aqui os dejo el log por si os sirve de algo:


Logfile of HijackThis v1.98.2
Scan saved at 21:37:32, on 21/10/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\MX\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SMSS.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: load=C:\MX\vi_grm.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\smss.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab

En la pagina que dejaste no figura el smss.exe, ¿Alguno de los archivos que figuran (1.com, services.exe, explorer.com, etc, todos copias identicas) estan presentes en tu maquina? Sino estan es que es otro malware ...

Si. Efectivamente, el 1.com, services.exe iexplore.com estan en mi pc. De hecho, me di cuenta de que lo tenia con el internet explorer que al querer entrar me decia que no se podia abrir con el iexplore.com... y lo del smss.exe si sale en el log. Es este:

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\smss.exe

Perfecto, entonces intenta lo siguiente, teniendo en cuenta la lista de copias generada:

1.Borrar todos
2.Los que no te permita borrar sera porque estan en ejecucion asi que tenes que matarlos
3.Borrar las cadenas del registro

Buscando en internet, he dao con un foro aleman :D y un usuario tiene el mismo virus que yo y ha posteado el registro suyo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ve
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices alt anahtarına ulaşıp sağ pencerede bulunan "Torjan Program" = "services.exe" değerini silin.
HKEY_CLASSES_ROOT\scrfile\shell\install\command,
HKEY_CLASSES_ROOT\scriptletfile\Shell\GenerateType lib\command ,
HKEY_CLASSES_ROOT\telnet\shell\open\command,
HKEY_CLASSES_ROOT\Unknown\shell\openas\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\ open\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortc ut\shell\open\command, HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\ install\command, HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\ openas\command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\o pen\command alt anahtarına ulaşıp sağ pencerede "finder.com" değerini işaret eden satırları silin.
HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell \Open\Command alt anahtarına ulaşıp sağ pencerede "ExERoute.exe " değerini işaret eden satırları silin.
HKEY_CLASSES_ROOT\Drive\shell\find\command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\fi nd\command alt anahtarına ulaşıp sağ pencerede "explorer.com" değerini işaret eden satırları silin.
HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command,
HKEY_CLASSES_ROOT\file\shell\open\command,
HKEY_CLASSES_ROOT\htmlfile\shell\print\command,
HKEY_CLASSES_ROOT\inffile\shell\Install\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\ cplopen\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\file\shell\ope n\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell \print\command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\ Install\command alt anahtarına ulaşıp sağ pencerede "rundll32.com" değerini işaret eden satırları silin.
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\ open\command
HKEY_CLASSES_ROOT\ftp\shell\open\command,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\i explore.exe
\shell\open\command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open \command alt anahtarına ulaşıp sağ pencerede "iexplore.com" değerini işaret satırları silin.
HKEY_CLASSES_ROOT\http\shell\open\command alt anahtarına ulaşıp sağ pencerede "iexplore.pif" değerini işaret eden satırları silin.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main alt anahtarına ulaşıp sağ pencerede bulunan "Check_Associations" değerini "yes" olarak değiştirin.
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command ve
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command alt anahtarlarını silin.


El mio esta igual

Otra cosilla, lo de borrar las copias del virus no lo he hecho... a lo mejor puede ser ese el problema. Yocreia que solo era el smss.exe, pero he mirado que el 1.com , el explorer.com y el iexplore.pif coinciden con el tamaño 17,8 kbs creo que eran... pero como se cuales son las demas copias?

Estan en la pagina que diste:

%Windir%\1.com
%Windir%\services.exe
%Windir%\finder.com
%Windir%\explorer.com
%Windir%\exeroute.exe
%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\common files\iexplore.pif

Borralas todas, la que se carga al inicio es services.exe porque esta en el registro.

Bueno, pues salgo de 1 y me meto en otra peor... Borre todas las copias del virus de mi pc manualmente, o sea eliminando 1 a 1. Y ahora cuando quiero ir al registro para borrar las entradas, escribo regedit en ejecutar y me dice que necesita el programa ExERoute.exe para poder abrirlo.... y no solo para entrar al registro de windows, sino para cualquier programa, incluso los del inicio. Me he metido en opciones de carpeta y tipos de archivo asociados y he puesto en predeterminado todos uno a uno, y sigue pidiendome el exeroute.exe para abrir cualquier programa.... :(

Ya casi lo tenes arreglado, en la pagina esa tenes una herramienta para arreglar el registro tambien:

http://securityresponse.symantec.com...stry.keys.html

Hay que leer un poquito mas lo que uno publica

Bueno, pues al final tuve que entrar al registro mediante MS-DOS. Y alli borrar todas las entradas que estabas asociadas con el exeroute.exe. Supuestamente ahora deberia estar todo bien, libre de copias de virus. Lo unico que no he hecho a sido lo de instalar el archivo .INF para arreglar el registro. Lo he bajado, pero le doy al click derecho sobre el y no me aparece ninguna opcion de instalar. Perdon, pero esq soy muy novato aun, hay alguna forma?

Si ya te funciona todo lo de abajo no hace falta.


http://securityresponse.symantec.com...stry.keys.html

Te lo traduzco (como puedo) al castellano:

1. Descargue el archivo Unhook.inf (http://securityresponse.symantec.com...UnHookExec.inf) y guardelo en el escritorio de Windows
2. Hace click con el boton derecho del mouse sobre el archivo (en el escritorio) y dale a Instalar
3. Listo

El caso esque he bajado el archivo, lo he salvado en el escritorio pero cuando le dio al click derecho sobre el no aparece nada de instalar. Si pincho 2 veces se abre como un archivo de texto.