Página 1 de 3 123 ÚltimoÚltimo
Resultados 1 al 20 de 41

ayuda con virus HBmhly

Esta es una discusión para el tema ayuda con virus HBmhly en el foro Ayuda Técnica, bajo la categoría Tecnologia; hola quisiera saber que hace este virus HBmhly.exe.per se aloja en C:\WINDOWS\system32\HBmhly.exe.per busque en gogle pero no me dio mucha ...
Página: 1


  1. #1
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado ayuda con virus HBmhly

    hola quisiera saber que hace este virus HBmhly.exe.per

    se aloja en C:\WINDOWS\system32\HBmhly.exe.per

    busque en gogle pero no me dio mucha informacion y salio en ingles

    quisiera saber como se propaga. como pudo entrar a mi red.

    lo detecte en una pc de mi red que solo yo uso para controlar el tiempo. no bajo nada. tambien esta en maquinas de la red se vuelve pesada la maquina

  2. #2
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    mmm será porque ese .per es la extensión que puso tu antivirus al .exe para desactivarlo?, ni me digas que tienes el PER Antivirus como antivirus.

    http://www.google.com.pe/search?hl=e...G=Buscar&meta=
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

  3. #3
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    eso tambien fue lo que encontre en gogle pero traduciendo no me dice que hace como se propaga ni nada por el estilo.

    te explico ese .per es por que en esa maquina el per lo detecta y lo sobreescribe el archivo.

    pero en la maquinas sin per que son la gran mayoria sale HBmhly.exe

    explico un poco.

    como las pc tienen deepfrezeer, a la hora de reinciar supuestamente desaparece pero al rato aparece esos archivos cuando usan la pc.
    ya sea cuando usan knight online al rato se cierra el juego y sale el xtrap error, en el wow critacal error y en el warcraft (dota) desconectan de la partida al jugador ya sea el lan o en batle. y cuando apreto el Ctrl+Alt+Supr veo los HBmhly.exe el longasusk.exe a.gif esto sucede ya en 2 dias. asi que algo hace que regresen esos virus. por mas que apage todas las pcs, el swicht, el router sigo con ese problema.


    [img=http://img367.imageshack.us/img367/2521/dibujovn2.th.jpg]

  4. #4
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    Pues instala un antivirus de verdad, eso debería solucionar el problema, de igual manera genera una imagen nueva del DP, posiblemente el malware se haya colado ahi también razón por la cual cada día vuelve a aparecer.
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

  5. #5
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    gracias por ersponder, apage todas las pc solo prendi 1 y me puse a jugar hace 10 minutos luego de escribir el post anterior y en 5 minutos se me desconecto el juego y me salieron los mismos archivos + 2.gif y 3. gif, aclarando que al prender la pc chekee que no andaban esos archivos. le quiero pasar el panda online y nada no puede actualizar. reinicare nuevamente y lo primero que are sera borrar temporales y luego pasar el panda online

  6. #6
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    Pero realiza la búsqueda en modo a prueba de fallos con conexión de red, de otro modo va a ser dificil que lo puedas erradicar completamente de tu equipo.

    Bájate el HIJACKTHIS y publica el log please para ayudarte.
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

  7. #7
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    el active scan no se pudo instalar, le cambie de ip ala pc y se instalo ahora lo estoy pasando. pero esto me sale en lo que me pides,

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:13:17 a.m., on 12/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Archivos de programa\Pcweb - Bloqueador\MiFav.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
    C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\NetLimiter 2 Pro\NLClient.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\HBmhly.exe
    C:\WINDOWS\system32\longasusk.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O1 - Hosts: 202.165.102.205 972.aksjd11.com
    O1 - Hosts: 202.165.102.205 w3og.cn
    O1 - Hosts: 203.208.35.100 qazc.fourtw.cn
    O1 - Hosts: 203.208.35.100 www.aujoy.cn
    O1 - Hosts: 203.208.35.101 www.hao601.cn
    O1 - Hosts: 203.208.35.101 www.psp476.cn
    O1 - Hosts: 72.14.235.99 222.1212l112.net
    O1 - Hosts: 72.14.235.99 444.1212l112.netn
    O1 - Hosts: 72.14.235.99 555.1212l112.net
    O1 - Hosts: 72.14.235.99 111.1212l112.net
    O1 - Hosts: 65.55.21.250 111.3243l24.com
    O1 - Hosts: 65.55.21.250 222.3243l24.com
    O1 - Hosts: 65.55.21.250 333.3243l24.com
    O1 - Hosts: 125.64.8.112 kao2.gmwo03.com
    O1 - Hosts: 125.64.8.112 kao.gmwo06.com
    O1 - Hosts: 125.64.8.112 444.gmwo07.com
    O1 - Hosts: 116.252.185.15 ru.update365.us
    O1 - Hosts: 116.252.185.15 ad.update365.us
    O1 - Hosts: 207.46.232.182 popmails.net
    O1 - Hosts: 203.208.37.99 3.goodhh.com
    O1 - Hosts: 220.181.37.55 down.rwixr.com
    O1 - Hosts: 160.79.42.52 www.xdj2008.com
    O1 - Hosts: 63.175.76.152 www.revtr.cn
    O1 - Hosts: 219.133.40.91 qq.ljsll.com
    O1 - Hosts: 203.208.35.102 www.aassccwe.cn
    O1 - Hosts: 209.132.177.50 973.aksjd11.com
    O1 - Hosts: 209.132.177.50 974.aksjd11.com
    O1 - Hosts: 209.132.177.50 971.aksjd11.com
    O1 - Hosts: 209.132.177.50 975.aksjd11.com
    O1 - Hosts: 72.14.235.104 user1.12-39.net
    O1 - Hosts: 72.14.235.147 www.infomt.net
    O1 - Hosts: 192.150.18.101 ata1.sysions.net
    O1 - Hosts: 192.150.18.101 ata2.sysions.net
    O1 - Hosts: 192.150.18.101 ata3.sysions.net
    O1 - Hosts: 192.150.18.101 ata4.sysions.net
    O1 - Hosts: 193.120.42.226 8nnnnn99.cn
    O1 - Hosts: 24.39.54.34 www.haoaoao.cn
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [IExlorerWin] C:\Archivos de programa\Pcweb - Bloqueador\MiFav.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [HBmhly] "C:\WINDOWS\system32\HBmhly.exe" -r
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D44FB818-D80F-4ED5-BEB7-52378022BE6D}: NameServer = 200.48.225.130,200.48.225.146
    O20 - AppInit_DLLs: NTNJXSJTVC.dll longasus.dll momusi.dll joasus.dll joliom.dll googleons.dll welycz.dll fackwir.dll pcibexl.dll caotxb.dll comremo.dll
    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
    O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll
    O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 5899 bytes

  8. #8
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    este es cuando recien empieza la pc: el primero que envie es despues de un rato de ensendida.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:41:25 a.m., on 12/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Archivos de programa\Pcweb - Bloqueador\MiFav.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\HBmhly.exe
    C:\DOCUME~1\xp\CONFIG~1\Temp\2.gif
    C:\WINDOWS\system32\longasusk.exe
    C:\Archivos de programa\NetLimiter 2 Pro\NLClient.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pcwebperu.com/inicio.asp?...u.com&Acepta=S
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [IExlorerWin] C:\Archivos de programa\Pcweb - Bloqueador\MiFav.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [HBmhly] "C:\WINDOWS\system32\HBmhly.exe" -r
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D44FB818-D80F-4ED5-BEB7-52378022BE6D}: NameServer = 200.48.225.130,200.48.225.146
    O20 - AppInit_DLLs: longasus.dll momusi.dll joasus.dll joliom.dll
    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
    O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll
    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 3833 bytes

  9. #9
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    algo que estoy haciendo para solucionar ya que me doy cuenta cuando no entro a internet osea lo desconecto el virus no entra. porque he reiniciado la pc al terner deepfrezer y paso antivirus actualizado no encuentra virus, desde luego desconectandolo del router. si no lo desconecto mientras hace kla busqueda entra el virus.
    ya cambie de router y probandolo en una sola maquina nada de solucion, he reseteado el router (osea regresarlo a parametros de fabrica) i nada siegue entrando el viruz. como si estuviera esperando en algun lado para para entrar a la pc cuando se conecta a internet.
    mi solucion ahorita ha sido instalar nuevo antivirus sin coneccion a red actualizado y luego de pasar un scaneo a la pc sin encontrar virus le he dado al cliente para que lo use a ver como se comporta la maquina.
    si no vuelve a entrar a hacer eso con todas las pcs. pero si vuelve a entrar no se que otra alternativa hacer.
    podra ser que el virus se pueda almacenar en el cable UTP? o en el router y por mas que se le haga reset este alli? lo he probado con 2 router y con los dos entra el virus en aproximadamente 10 mitutos de usar el internet explore.
    mi conexion es ip dinamica. adsl
    nota : lo he probado solo una pc con el raouter distanciado de la red local. a ver si es que por la red se infecta. pero esa opcion ha sido descartada.

  10. #10
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    C:\WINDOWS\system32\HBmhly.exe
    C:\DOCUME~1\xp\CONFIG~1\Temp\2.gif
    C:\WINDOWS\system32\longasusk.exe

    Esos 3 procesos se ejecutan constantamente, en modo a prueba de fallos elimina esos .exe y limpia los perfiles de archivos temporales.

    Elimina las siguientes claves:

    O4 - HKLM\..\Run: [HBmhly] "C:\WINDOWS\system32\HBmhly.exe" -r
    O20 - AppInit_DLLs: longasus.dll momusi.dll joasus.dll joliom.dll

    Ese longasus me parece que es un keylogger.
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

  11. #11
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    cuando prendo la pc sin el cable de Red no me sucede este inconveniente. pero cuando esta conectado a internet al rato se inertan esos archivos mi mi archivo hosts me salen las siguientes direcciones no pongo mas lineas porque se vayan a molestar pero copie solo el listado de paginas en word y me salen 158 paginas de listado. y si se dan cuenta esta la primera parte en ingles.

    pero cuando estoy sin internet no sucede eso y el host solo sale 1 sola linea y lo primero sale en español.

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host

    127.0.0.1 localhost
    202.165.102.205 972.aksjd11.com
    202.165.102.205 w3og.cn
    203.208.35.100 qazc.fourtw.cn
    203.208.35.100 www.aujoy.cn
    203.208.35.101 www.hao601.cn
    203.208.35.101 www.psp476.cn
    72.14.235.99 222.1212l112.net
    72.14.235.99 444.1212l112.netn
    72.14.235.99 555.1212l112.net
    72.14.235.99 111.1212l112.net
    65.55.21.250 111.3243l24.com
    65.55.21.250 222.3243l24.com
    65.55.21.250 333.3243l24.com
    125.64.8.112 kao2.gmwo03.com
    125.64.8.112 kao.gmwo06.com
    125.64.8.112 444.gmwo07.com
    116.252.185.15 ru.update365.us
    116.252.185.15 ad.update365.us
    207.46.232.182 popmails.net
    203.208.37.99 3.goodhh.com
    220.181.37.55 down.rwixr.com
    160.79.42.52 www.xdj2008.com
    63.175.76.152 www.revtr.cn
    219.133.40.91 qq.ljsll.com
    203.208.35.102 www.aassccwe.cn
    209.132.177.50 973.aksjd11.com
    209.132.177.50 974.aksjd11.com
    209.132.177.50 971.aksjd11.com
    209.132.177.50 975.aksjd11.com
    72.14.235.104 user1.12-39.net
    72.14.235.147 www.infomt.net
    192.150.18.101 ata1.sysions.net
    192.150.18.101 ata2.sysions.net
    192.150.18.101 ata3.sysions.net
    192.150.18.101 ata4.sysions.net
    193.120.42.226 8nnnnn99.cn
    24.39.54.34 www.haoaoao.cn
    127.0.0.1 971.lkjdasa12.com
    127.0.0.1 974.lkjdasa12.com
    127.0.0.1 111.213l23.net
    127.0.0.1 111.313l23.com
    127.0.0.1 222.313l23.com
    127.0.0.1 asd.dasd89712l.com
    127.0.0.1 cao.caonima01.com
    127.0.0.1 u1.cnnod32upserver
    127.0.0.1 u2.cnnod32upserver
    127.0.0.1 u3.cnnod32upserver
    127.0.0.1 u4.cnnod32upserver
    127.0.0.1 u5.cnnod32upserver
    127.0.0.1 u6.cnnod32upserver
    127.0.0.1 www.macromedia.com
    127.0.0.1 download.macromedia.com
    127.0.0.1 fpdownload.macromedia.com
    127.0.0.1 0.11xp.com
    127.0.0.1 0.sqwyt.com
    127.0.0.1 0001.6658588.cn
    127.0.0.1 007sf.cn
    127.0.0.1 010.waokao.cn
    127.0.0.1 023china.cn
    127.0.0.1 0272.service-google.cn
    127.0.0.1 0358.com.cn
    127.0.0.1 0371cn.cn
    127.0.0.1 0512edu.cn
    127.0.0.1 08325.cn
    127.0.0.1 086107.service-google.cn
    127.0.0.1 086121.service-google.cn
    127.0.0.1 086140.service-google.cn
    127.0.0.1 086156.service-google.cn
    127.0.0.1 086158.service-google.cn
    127.0.0.1 086165.service-google.cn
    127.0.0.1 086170.service-google.cn
    127.0.0.1 086173.service-google.cn
    127.0.0.1 086175.service-google.cn
    127.0.0.1 086195.service-google.cn
    127.0.0.1 086196.service-google.cn
    127.0.0.1 086202.service-google.cn
    127.0.0.1 086216.service-google.cn
    127.0.0.1 08657.service-google.cn
    127.0.0.1 08675.service-google.cn
    127.0.0.1 0868.service-google.cn
    127.0.0.1 08689.service-google.cn
    127.0.0.1 08697.service-google.cn
    127.0.0.1 098.seruijingandeshijinpos.com
    127.0.0.1 0hu.net
    127.0.0.1 1.100190.com
    127.0.0.1 1.111281.com
    127.0.0.1 1.11aaa.com
    127.0.0.1 1.11mmm.com
    127.0.0.1 1.11sss.com
    127.0.0.1 1.22aaa.com
    127.0.0.1 1.22ccc.com
    127.0.0.1 1.44xp.com
    127.0.0.1 1.517sese.com
    127.0.0.1 1.51wyt.com
    127.0.0.1 1.55sss.com
    127.0.0.1 1.59ri.com
    127.0.0.1 1.5se5se.org
    127.0.0.1 1.67nn.com
    127.0.0.1 1.97ai.com
    127.0.0.1 1.97sese.com
    127.0.0.1 1.9momo.com
    127.0.0.1 1.aattt.com
    127.0.0.1 1.ddddx.com
    127.0.0.1 1.djbcxx.com
    127.0.0.1 1.ehai01.com
    127.0.0.1 1.hao929.cn
    127.0.0.1 1.jopanqc.com
    127.0.0.1 1.jopenkk.com
    127.0.0.1 1.jopenqc.com
    127.0.0.1 1.jopmmqq.com
    127.0.0.1 1.joppnqq.com
    127.0.0.1 1.langdh.com
    127.0.0.1 1.lv19.com
    127.0.0.1 1.paomm.info
    127.0.0.1 1.ppppx.com
    127.0.0.1 1.seb198.cn
    127.0.0.1 1.sexzzz.net
    127.0.0.1 1.ttqsw.com
    127.0.0.1 1.wytdg.cn
    127.0.0.1 1.xfqsw.com
    127.0.0.1 1.xks08.com
    127.0.0.1 1.xqhgm.com
    127.0.0.1 10.97ai.com
    127.0.0.1 1008y.cn
    127.0.0.1 102.112.207.net
    127.0.0.1 10kong.cn
    127.0.0.1 10wip.com
    127.0.0.1 11.11gao.com
    127.0.0.1 11.55sss.com
    127.0.0.1 11.buyaoni.com
    127.0.0.1 110rx.cn
    127.0.0.1 1111.845845.cn
    127.0.0.1 111tu.com
    127.0.0.1 114.vent.cn
    127.0.0.1 114.wucai.com
    127.0.0.1 1188.com
    127.0.0.1 11990.com
    127.0.0.1 11se.com
    127.0.0.1 11setu.cn
    127.0.0.1 11sss.163mv.cn
    127.0.0.1 11sss.com
    127.0.0.1 11wenxue.cn
    127.0.0.1 11xp.cc
    127.0.0.1 11xp.com
    127.0.0.1 11xp44xp11sss.cn
    127.0.0.1 121wool.cn
    127.0.0.1 123.97sese.com
    127.0.0.1 123.blog5460.com.cn
    127.0.0.1 123.wwwwool.cn
    127.0.0.1 1233.cn
    127.0.0.1 1234.11sss.com
    127.0.0.1 1234.2bro.com
    127.0.0.1 1234.89111.cn
    127.0.0.1 1234ya.com
    127.0.0.1 123do.com
    127.0.0.1 123dongfang.cn
    127.0.0.1 123s123.cn
    127.0.0.1 123vip.cn
    127.0.0.1 126.cn
    127.0.0.1 126621.com
    127.0.0.1 12706.com
    127.0.0.1 12rr.com
    127.0.0.1 13113.com.cn
    127.0.0.1 131377.com
    127.0.0.1 134mn.com
    127.0.0.1 14713804a.l2m.net
    127.0.0.1 14se.org
    127.0.0.1 15.buyaoni.com
    127.0.0.1 15gan.com
    127.0.0.1 16272.net
    127.0.0.1 163dy.com
    127.0.0.1 163mv.cn
    127.0.0.1 168game.cn
    127.0.0.1 169mm.cn
    127.0.0.1 16a.us
    127.0.0.1 171817.171817.com
    127.0.0.1 173yz.cn
    127.0.0.1 178lian.com
    127.0.0.1 17gmmu.cn
    127.0.0.1 17jianfei8.cn
    127.0.0.1 17miles.cn

  12. #12
    Junior Member
    Fecha de ingreso
    13 jul, 08
    Mensajes
    1

    Predeterminado Re: ayuda con virus HBmhly

    Cita Iniciado por Solidus J2K Ver mensaje
    C:\WINDOWS\system32\HBmhly.exe
    C:\DOCUME~1\xp\CONFIG~1\Temp\2.gif
    C:\WINDOWS\system32\longasusk.exe

    Esos 3 procesos se ejecutan constantamente, en modo a prueba de fallos elimina esos .exe y limpia los perfiles de archivos temporales.

    Elimina las siguientes claves:

    O4 - HKLM\..\Run: [HBmhly] "C:\WINDOWS\system32\HBmhly.exe" -r
    O20 - AppInit_DLLs: longasus.dll momusi.dll joasus.dll joliom.dll

    Ese longasus me parece que es un keylogger.


    funciona perfecto, mil gracias!!!

    Hola es la primera vez que ando por aca,

    hace 3 semanas que me vuevo loco con una lan de 11 maquinas con este virus, se activa cuando accedo el dispositivo de red, osea ya sea por internet o por la misma lan,
    los sintomas era que me tiraba abajo la lan, tildando algunas maquinas, y utilizando otras para utilizar completamente el uso de banda d einternet para enviar datos,

    recien hace 3 días pude frenarlo instalando el antivirus nod 32 en todas las maquina, ya que como poseía el deep freeze, "pensaba" que estaba seguro",

    pero solo pude detenerlo, no borrarlo,

    gracias al aporte del amigo de arriba, creo que lo pude borrar,

    y les digo más, como ingreso?

    porque instale para probar en una maquina el windows ue v7, que baje de taringa, obviamente totalmente infectado.

    saludos.

  13. #13
    Senior Member
    Fecha de ingreso
    28 jun, 04
    Ubicación
    escondido por Yavin
    Mensajes
    114

    Predeterminado Re: ayuda con virus HBmhly

    Yo tengo deepfreze en mis PC y cuando las tengo sin coneccion a internet el virus no esta,no parace ningun hbmhly.exe ejecutandose ni un longasusk.exe,pero cuando lasconecto y ejecuto el explorer o un juego ke conecte a internet, alrato empieza a salir una ventana del nod32 detectando el virus, un archivo 2.gif o 3.gif... aleatoriamente, ke descarga de una direccion IP y los archivos antes mencionados aparecen ejecutando y comnfigurandose, cual sria la solucion a esto? pareciera que algun archivo en las PCs esta havciendo una coeccion remota a este sitio para que descargue elvirus o troyano.

  14. #14
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    asi es eso sucede, chekea u archivo hosts y veras odas las paginas que se editan en ese archivo creo que eso hace que se siena pesado la pc. y los juegos online tengan desconeciones.

    al menos yo instale el nod32 y los anda bloqueando, pero los clienes se molesan que cada 5 minuos sale la alarma de virus, les disare de su juego. pero lo bueno es que ya no ienen las desconexxiones. aun no he probado lo que dice solidus. pero hoy despues de las 11 lo ineno

  15. #15
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    a ver mi pc empieza con estos archivos:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:31:42 p.m., on 13/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
    C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe
    C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    F2 - REG:system.ini: UserInit=C:\Archivos de programa\Ciber Boss 4 Cliente\cliente.exe /init
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\GetFlash.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=19588
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3CD66414-6EAC-4B8F-8670-94C1A1E90374}: NameServer = 200.48.225.130,200.48.225.146
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3CD66414-6EAC-4B8F-8670-94C1A1E90374}: NameServer = 200.48.225.130,200.48.225.146
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3CD66414-6EAC-4B8F-8670-94C1A1E90374}: NameServer = 200.48.225.130,200.48.225.146
    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Archivos de programa\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE

    --
    End of file - 4795 bytes

    al estar conectandome el nood32 comienza a bloquear ataques asi que algo hace que sigan descargando, a ver si me ayudan como solucionar. teoricamente la pc cuando prende parece no tener ninguna amenasa. le paso hasta el nod32, pero cuando me conecto a internet y uso la pagina comienza los problemas como que quieren entrar ataques q pone en cuarente uno de los mas frecuentes es el http://root.51113.com/root.gif

  16. #16
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    Ya se ve mas normal ese log, aunque tienes que eliminar esta clave:

    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

    Para ello utiliza el LSPFIX.

    Y sobre tu caso, tienes que erradicar PC por PC sin conectarlos a la red hasta que todos estén desinfectados, ya que al ser un gusano, se propagará o se activará ni bien te conectes (te has fijado si al estar en red te satura el ancho de banda?).
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

  17. #17
    Senior Member
    Fecha de ingreso
    19 jun, 04
    Mensajes
    542

    Predeterminado Re: ayuda con virus HBmhly

    hola solidus ese log me sale al empesar la pc sin esar conecado a la red, sin ahacer aun ni una modificacion con el hijackhis.
    osea el hijackhis lo tuve que bajar en otra maquina que he visto que no le enra el virus y por diskette lo pase a la maquina que se infecta cuando lo conecto a inernet ( y a la red).
    osea con este log conecto la pc a la red e internet y se comienza a infecar sin el nood el virus entra y se convierte a los primeros log que te envie, con el nod32 bloquea los ataques pero sale un monton de mensajes que esta bloqueando los ataques, pero los clientes se molestan porque les interrumpe mientras que juegan.
    esaba pensando en dejarla infectar la pc y luego quitar lo que me dijise al principio, o eliminando el
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    ya no deja entrar?

    con respecto a que se me saura la linea, si y hasta ha llegado el momeno de desconectarme.

  18. #18
    Junior Member
    Fecha de ingreso
    13 jul, 08
    Mensajes
    3

    Predeterminado Re: ayuda con virus HBmhly

    Amigos estoy con el mismo problema con este virus, en una red lan de 18 maquinas, les pregunto como saber que maquina esta infectada, porque la que esta infectada solo recibe señal, pero despues de separar la infectada sigue otra que tambien esta asi.

  19. #19
    Senior Member
    Fecha de ingreso
    28 jun, 04
    Ubicación
    escondido por Yavin
    Mensajes
    114

    Predeterminado Re: ayuda con virus HBmhly

    Ese archivo nwprovaw.dll hay que elimnarlo?, bueno yo lo hice y al momento el nod detecta la descarga de un root.gif, pero bueno la linea la veo mas rapida aunke todavia tendria ke saber si es por ello.

  20. #20
    Senior Member Avatar de Solidus J2K
    Fecha de ingreso
    03 dic, 04
    Mensajes
    4,000

    Predeterminado Re: ayuda con virus HBmhly

    Es que ese archivo no es el único, tienes que pasar el scan del NOD32 en modo a prueba de fallos si o si, ya lo hiciste?, te detectó malware?, si es así publica aquí el log de incidencias.
    AMD FX-8320 @ 4.4GHz + TT NiC C4 | Asus M5A99X EVO R2 | Corsair Vengeance 2x4GB DDR3 1866Mhz | MSI Gaming R9-290 @ 1120/1400 | LG D2343P 23'' 3D | CM HAF XB-EVO + Antec HCG-900W | Seagate 2x1TB + 1x500GB | Razer Lycosa Mirror + Razer Imperator 2012.

Página 1 de 3 123 ÚltimoÚltimo

LinkBacks (?)

  1. 22/06/2012, 02:53

Temas similares

  1. ayuda con virus
    Por erinton en el foro Ayuda Técnica
    Respuestas: 8
    Último mensaje: 09/07/2008, 21:23
  2. Ayuda --> Virus autorun.inf
    Por Pirotecnico_returns en el foro Ayuda Técnica
    Respuestas: 6
    Último mensaje: 01/07/2008, 00:24
  3. virus o que puede ser?? ayuda
    Por alien200710 en el foro Ayuda Técnica
    Respuestas: 1
    Último mensaje: 31/05/2008, 21:15
  4. Ayuda Virus plz !
    Por DoOoBaZzyLee en el foro Ayuda Técnica
    Respuestas: 7
    Último mensaje: 29/01/2008, 11:02
  5. Ayuda con los Virus
    Por Berserker en el foro Discusión General
    Respuestas: 22
    Último mensaje: 31/10/2004, 11:53

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •