¿Cómo eliminar completamente jwgkvsq.vmx (W32.Downadup.B)? ¡Problema... Urgente!
Suplemento de preguntas:
El siguiente es el proceso antivirus y los registros relacionados que he probado como referencia.
******* ***** ********************************************** ****** ****************************
1 Después del envenenamiento: aplique el parche SP4 en la zona. sistema,
Instalar 360 Security Guard, informe de diagnóstico:
-------------------------- -------- ------------------------------------------ -----
Hora del diagnóstico: 2010-02-08 23:06:33
Plataforma de diagnóstico: Microsoft Windows 2000 Service Pack 4
Versión IE : Internet Explorer V5.00.3700.1000 Build:53700.1000
Memoria física de la computadora: 247,48 MB - Memoria disponible actualmente: 128,13 MB
O4 - Desconocido - HKLM\..\Run: [ autoupdatevod] [] C:\ldjlb\upvod. exe
O23 - Desconocido - Servicio: dpjbpdm [Shell Center] - - (iniciando)
O23 - Desconocido - Servicio: DWMRCS [ DameWare Mini Remote Control] - C:\WINNT\ SYSTEM32\DWRCS.EXE -servicio - (en ejecución)
O23 - Desconocido - Servicio: OracleOraHome81ClientCache [OracleOraHome81ClientCache] - C:\oracle\ora81\BIN\ONRSD .EXE - (no en ejecución)
===================================== ====
100 - Seguridad - Proceso: SMSS.EXE [Este proceso se utiliza para inicializar las variables del sistema para el subsistema de administración de sesiones. El nombre del controlador ms-dos es similar a lpt1 y com. el subsistema de shell win32 y se ejecuta en el proceso de inicio de sesión de Windows. ] - C:\WINNT\System32\smss.exe
100 - Seguridad - Proceso: CSRSS.EXE [Subsistema de servicio al cliente, utilizado para controlar los subsistemas relacionados con gráficos de Windows. ] - C:\WINNT\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512,512 Windows=On SubSystemType=Windows ServerDll=ba
100 - Seguridad - Proceso: WINLOGON.EXE [windows nt programa de inicio de sesión de usuario. ] - C:\WINNT\system32\winlogon.exe
100 - Seguridad - Proceso: SERVICES.EXE [Se utiliza para administrar los procesos del sistema de servicios de Windows.
] - C:\WINNT\system32\services.exe
100 - Seguridad - Proceso: LSASS.EXE [El servicio de la autoridad de seguridad local controla el mecanismo de seguridad de Windows. ] - C:\WINNT\system32\lsass.exe
100 - Seguridad - Proceso: svchost.exe [el proceso de host del servicio es un servicio de procesamiento de host de biblioteca de enlaces dinámicos estándar. ] - C:\WINNT\system32\svchost.exe -k netsvcs
100 - Seguridad - Proceso: DWRCS.EXE [Mini software de control producido por la empresa dameware, utilizado para controlar programas relacionados con el cliente. ] - C:\WINNT\SYSTEM32\DWRCS.EXE -service
100 - Seguridad - Proceso: svchost.exe [el proceso de host de servicio es un servicio de procesamiento de host de biblioteca de vínculos dinámicos estándar. ] - C:\WINNT\system32\svchost -k rpcss
100 - Seguridad - Proceso: svchost.exe [el proceso de host del servicio es un servicio de procesamiento de host de biblioteca de vínculos dinámicos estándar. ] - C:\WINNT\system32\svchost.exe -k wugroup
100 - Seguridad - Proceso: WinMgmt.exe [el servicio de administración de Windows procesa datos de los clientes de aplicaciones a través de la tecnología de datos de instrumentación de administración de Windows (wmi) . ] - C:\WINNT\System32\WBEM\WinMgmt.exe
100 - Seguridad - Proceso: explorer.exe [el administrador de programas de Windows o el explorador de Windows se utiliza para controlar el shell gráfico de Windows, incluido el menú de inicio y barra de tareas, escritorio y administración de archivos. ] - C:\WINNT\Explorer.EXE
100 - Seguridad - Proceso: msiexec.exe [Parte del instalador de Windows. Se utiliza para ayudar a instalar archivos en el formato de archivos del paquete de instalación de Windows (msi). ] - C:\WINNT\System32\MsiExec.exe /V
100 - Seguridad - Proceso: hkcmd.exe [software relacionado con el controlador de la tarjeta gráfica Intel. ] - C:\WINNT\System32\hkcmd.exe
100 - Seguridad - Proceso: SOUNDMAN.EXE [Un software de consola de tarjeta de sonido suave. ] - C:\WINNT\SOUNDMAN.EXE
100 - Seguridad - Proceso: internat.exe [Los iconos de control de entrada se utilizan para cambiar configuraciones como país, tipo de teclado y formato de fecha. ] - C:\WINNT\system32\internat.exe
100 - Seguridad - Proceso: DLLHOST.EXE [El proceso del host dcom dll admite dll basado en objetos com para ejecutar programas de Windows.
] - C:\WINNT\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
100 - Seguridad - Proceso: zhudongfangyu.exe [360 Active Defense Service Module] - C:\Program Files\360\360safe\deepscan\zhudongfangyu.exe
100 - Seguridad - Proceso: 360Safe.exe [360Safeguard] - C:\Program Files\360\360safe\360Safe.exe
100 - Seguridad - Proceso: 360tray.exe [módulo de protección en tiempo real de 360 Security Guard] - C:\Program Files\360\360safe\safemon\360tray.exe
100 - Seguridad - Proceso: 360hotfix.exe [Módulo de reparación de vulnerabilidades de 360 Security Guard] - C:\Program Files\360\360safe\360hotfix.exe
R1 - Seguridad- HKLM\Software\Microsoft\Internet Explorer\Main, Página local=C:\WINNT\system32\blank.htm
R1 - Seguridad- HKCU\Software\Microsoft\Internet Explorer\Main,Página local=C:\WINNT\system32\blank.htm
O1 - Seguridad - Host: 127.0.0.1 localhost
O3 - Seguridad - Barra de herramientas: (@msdxmLC.dll,-1@2052,&station) - [es el control ActiveX del Reproductor de Windows Media archivos relacionados. ] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - Seguridad - HKLM\..\Run: [Administrador de sincronización] [Administración de sincronización de datos Dispositivo] mobsync.exe /logon
O4 - Seguridad - HKLM\..\Run: [IgfxTray] [Es un programa de configuración y diagnóstico de la tarjeta gráfica Intel que se instala junto con la tarjeta gráfica integrada del Conjunto de chips Intel 810. ] C:\WINNT\System32\igfxtray.exe
O4 - Seguridad - HKLM\..\Run: [HotKeysCmds] [Es un programa relacionado con la tarjeta gráfica Intel, que se utiliza para configurar y diagnosticar dispositivos relacionados. ] C:\WINNT\System32\hkcmd.exe
O4 - Seguridad - HKLM\..\Run: [SoundMAXPnP] [controlador de tarjeta de sonido de la empresa del dispositivo analógico. ] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - Seguridad - HKLM\..\Run: [SoundMAX] [controlador de tarjeta de sonido de la empresa del dispositivo analógico.
] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - Seguridad - HKLM\..\Run: [SoundMan] [Programas relacionados con la tarjeta de sonido Realtek. ] SOUNDMAN.EXE
O4 - Seguridad - HKLM\..\Run: [360Safetray] [módulo de función de protección en tiempo real de 360safe. ] "C:\Program Files\360\360safe\safemon\360tray.exe" /start
O4 - Seguridad - HKCU\..\Run: [Internat.exe] [El método de entrada está en la barra de tareas icon] internat.exe
O9 - Seguridad - Botón adicional: Radio (HKLM) - C:\WINNT\web\ related.htm
O23 - Seguridad - Servicio: EventSystem [ ] - C:\WINNT\System32\es.dll - (en ejecución)
O23 - Seguridad - Servicio: Fax [Programa relacionado con el servicio Microsoft Fax, que permite a los usuarios crear y enviar faxes a componentes intermedios de Microsoft Office. ] - C:\WINNT\system32\faxsvc.exe - (no en ejecución)
O23 - Seguridad - Servicio: Servicio de agente SoundMAX (predeterminado) [Es un programa relacionado con el producto de tarjeta de sonido Analog SoundMAX. ] - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe - (no en ejecución)
O23 - Seguridad - Servicio: SysmonLog [Servicio de alertas y registros de rendimiento] - C:\WINNT\system32\ smlogsvc.exe - (no en ejecución)
O23 - Seguridad - Servicio: ZhuDongFangYu [elemento de servicio de defensa activa 360, que proporciona protección en tiempo real, monitoreo de cambios de archivos, aceleración de escaneo inteligente y otras funciones. Desactivar este servicio puede hacer que los troyanos sean indetectables e indetectables, lo que ralentiza seriamente la velocidad de escaneo de los troyanos.
] - "C:\Program Files\360\360safe\deepscan\zhudongfangyu.exe" - (en ejecución)
==================== ===================
O31 - Desconocido - Notificar: igfxcui - C:\WINNT\system32\igfxsrvc.dll - Intel Corporation - Módulo igfxsrvc - 3.0.0.1915 - 315392 - f31fbe239d110ff14f2f361166b26b47
O31 - Desconocido - SEApproved: {42071714-76d4-11d1-8b24-00a0c9068ff3} - deskpan.dll - - - - 0 -
O31 - Desconocido - SEApproved: CLSID no válido: Extensiones de Shell para compresión de archivos - - - - - 0 -O31 - Desconocido - SEApproved: CLSID no válido: Menú contextual de cifrado - - - - - 0 -
O31 p>
O31 - Desconocido - SEApproved: CLSID no válido: Extensiones de Shell para RealOne Player - - - - - 0 -
O31 - Desconocido - LSA: Paquetes de seguridad - sv1_0.dll - - - - 0 -
O31 - Desconocido - LSA: Paquetes de seguridad - canal.dll - - - - 0 -
============= === =======================
O40 - Explorer.EXE - Intel Corporation - C:\WINNT\system32\igfxres .dll - Módulo xxxxres - a4a6f119c30ce3db56c8a1e88b7c4119
O40 - Explorer.EXE - Intel Corporation - C:\WINNT\System32\igfxdev.dll - Módulo igfxdev - 4d97374cd40035e3be7609129cdcd94b
==== = === =====================================
O41 - rm847x - Minicontrolador de decodificador MPEG - C :\WINNT \system32\drivers\rm847x.sys - (en ejecución) - Minicontrolador decodificador MPEG - Sigma Designs Inc. - d046e5f400ea925c3597354fcc309c5d
O41 - rmstream - Controlador Stream Class - C:\WINNT\system32\drivers\ rmstream.sys - (en ejecución) - Controlador Stream Class - Sigma Designs Inc. - e76d0fc8b4958572c143a6cb3fb48e39
O41 - {6080A529-897E-4
629-A488-ABA0C29B635E} - Controlador de plataforma de gráficos Intel (SoftBIOS) para Windows 2000(R) y Windows XP(TM) - C:\WINNT\system32\drivers\ialmsbw.sys - (en ejecución) - Plataforma de gráficos Intel (SoftBIOS) Controlador para Windows 2000(R) y Windows XP(TM) - Intel Corporation - 9b808527870ebae0b1dfb90ef3f861b9
O41 - {D31A0762-0CEB-444e-ACFF-B049A1F6FE91} - Controlador del chipset de gráficos Intel (KCH) para Windows 2000( R) y Windows XP(TM) - C:\WINNT\system32\drivers\ialmkchw.sys - (en ejecución) - Controlador del chipset de gráficos Intel (KCH) para Windows 2000(R) y Windows XP(TM) - Intel Corporation - dba29fe70d66f5a82c860894c91b42c7
O41 - GMSIPCI - GMSIPCI - E:\INSTALL\GMSIPCI.SYS - (no en ejecución) - - -
O41 - senfilt - Controlador de audio 3D Sensaura WDM - C:\WINNT \system32\drivers\senfilt.sys - (no en ejecución) - Controlador de audio 3D Sensaura WDM - Sensaura - 118092cd20e1ef60fc846a5e190b6844
O41 - smwdm - Audio digital integrado SoundMAX - C:\WINNT\system32\drivers\smwdm. sys - (no en ejecución) - Audio digital integrado SoundMAX - Analog Devices, Inc. - 58cde3ec67aeab13507b74aad2f82df7
======================== ===============
360Safe.exe=6.1.0.1016
AntiAdwa.dll=5.1.1.1003
AntiEng.dll=5.0.0.1009
AntiActi.dll=2.0.0.3000
CleanHis.dll=4.2.0.1003
live.dll=1.0.2.1007
2. Aplicar todos los parches
-------------------------------- --------------------------------------------------
El parche: KB923191 La vulnerabilidad en el Explorador de Windows puede permitir la ejecución remota. No se ha solucionado.
Se ha aplicado el parche KB958644 para la vulnerabilidad MS08-067.
>------------------------------------------------- --------------- --------------------------
3. Utilice la herramienta de eliminación especial de Symantec para buscar virus.
--------------------------------- ----------------- --------------------------------- -
Herramienta de eliminación de Symantec W32.Downadup 1.1.0.7
proceso: svchost.exe, subproceso: 00000228 (terminado)
proceso: svchost.exe, subproceso : 000003F0 (terminado)
proceso: svchost.exe, subproceso: 0000027C (terminado)
proceso: svchost.exe, subproceso: 00000278 (terminado)
proceso: svchost.exe, hilo: 000003F8 (terminado)
proceso: svchost.exe, hilo: 0000033C (terminado)
proceso: svchost.exe (terminado)
C:\Documentos y configuraciones\Usuario predeterminado\Configuración local\Archivos temporales de Internet\ Content.IE5\6J2R4Z6J\zfbuks[1].jpg: W32.Downadup.B (irreparable) (eliminado)
C:\WINNT\system32\iinulkmk.dll: W32.Downadup.B (irreparable) (eliminado)
C:\WINNT\system32\iinulkmk.jdq: W32.Downadup.B (irreparable) ( eliminado)
trabajo programado: no se pueden enumerar los trabajos programados estado devuelto 2184
trabajo programado: no se pueden enumerar los trabajos programados estado devuelto 2184
W32.Downadup. ¡Se ha eliminado exitosamente de su computadora!
Aquí está el informe:
El número total de archivos escaneados: 12555
El número de archivos de amenazas eliminados: 3
El número de procesos de amenazas finalizados: 1
El número de subprocesos de amenazas finalizados: 6
El número de entradas de registro corregidas: 0
El sistema requiere un reinicio pero no se reinició.
>
Para limpiar todos los restos de la amenaza del sistema, se debe reiniciar.
----------------------- -------------------------------------------------- -----
Al día siguiente, utilice la herramienta antivirus de Symantec para buscar virus. Si vuelve a estar infectado, puede comprobar y eliminar un archivo de virus.
Utilice la herramienta antivirus de Symantec para comprobarlo nuevamente después de 10 días. La reinfección puede detectar y eliminar varios archivos de virus.
******************. ************ **************************************** ************ *******
Para aquellos que están celebrando el Año Nuevo Chino, me encuentro con un virus y no puedo vivir una vida limpia. .. ¿Alguien puede darme alguna orientación? ¡Muchas gracias!