Se ha detectado infección con Variante modificada de Win32/Spy.Agent.NFT (Troyano) en la memoria operativa. No puede ejecutarse acción cuando el archivo está en la memoria operativa. Pulse en el botón [Sin acciones] para continuar con la desinfección de los discos locales. La infección en la memoria operativa ha sido originada en el archivo C:\WINDOWS\system32\tkcom32.dll.

Saludos, ayer me encontré con este desagradable mensaje de mi antivirus: NOD32, solicito vuestra ayuda. Gracias de antemano.

Hola lostword. Bienvenid@ al foro de Infospyware (http://www.infospyware.com/).

Realiza lo siguiente..........

Paso 1.- Apaga el "Restaurar Sistema (http://www.forospyware.com/292280-post2.html)" (solo en Win Me y XP) y activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).

Paso 2.- Descarga, Instala y/o actualiza y estos programas, (pero no los ejecutes aun).

.:sas_icon:.Malwarebytes' Anti-Malware (http://www.infospyware.com/Anti-Malwares.htm). Manual (http://www.forospyware.com/t161085.html).
Notas: Si después de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.

bankerfix.exe (http://p.download.uol.com.br/linhadefensiva/bankerfix/bankerfix.exe). <== Guardalo en el escritorio.

BANKRGUI (http://www.sophos.com/support/cleaners/bankrgui.com). <== Guardalo en el escritorio.

Paso 3.- Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/292284-post4.html) y ejecutas de a uno:

BANKRGUI.

Doble clic sobre el archivo bankgui.com.
En la siguiente ventana clic en Accept, para aceptar las condiciones y terminos de uso.
Clic en "Configuration", asegurate que esten señaladas las opciones: "Ask for confirmation" y "Search for virus on disk".
Seleccione la opcion "Scan all files"; clic en "Ok".
Clic en GO "Star scan", para comenzar con el analisis.
El reporte queda guardado en C:\Resolve.log, lo copias y pegas en este mismo tema.



bankerfix de la siguiente forma:

Antes de usar bankerfix....
Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hazle doble clic al archivo bankerfix.exe
Haga clic en OK > Si le pide actualizar un certificado> OK para terminar la instalación.
Vuelve a ejecutar bankerfix.exe
Teclee Enter y espere un momento
Al terminar leer el mensaje en la pantalla y pulse ENTER
Reinicie en modo normal.
Copie el reporte que se encuentra en C:\LinhaDefensiva\relatorio.txt en este mismo tema.



Malwarebytes' Anti-Malware;

Pulsas en "Herramientas" y con el "Fileassassin" eliminas los archivos que resalto con rojo:
C:\WINDOWS\system32\tkcom32.dll

Despues:

Realiza un escaneo completo del PC y elimina las infecciones que este detecte.
Esto es fundamental, mandalas a cuarentena y eliminalas desde allí; pegas el reporte generado después de la eliminación.
El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.



Paso 4.- Reinicia en modo normal:

Usa el CCleaner (http://www.forospyware.com/t105564.html) para limpiar el sistema.

Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).



Realiza un analisis completo del Pc con Kaspersky Antivirus online (http://www.kaspersky.com/kos/spanish/kavwebscan.html). Manual (http://www.forospyware.com/t55793.html).

- Pega los reportes de BANKRGUI, bankerfix y Kasperky Antivirus Online para revisarlos.
- Reactivas el "Restaurar sistema" y deshaces "ver archivos ocultos".
- Para mayor comodidad imprime los pasos.

Salu2.

Para mi mal, he tardado bastante en ponerme manos a la obra, porque esto es como el dolor de muelas, hasta que no aguantas mas el dolor...no actúas. en fin, hoy he ido siguiendo los pasos que amablemente me aconsejasteis y que imprimí.

Conseguí:
- Apagar restaurar el sistema, y activar ver archivos ocultos.

RESOLVE Version 1.06
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for Troj/Banker-R

Data Version 1.01

System scan started at 10:57 on 27 April 2008

Checking for Troj/Banker-R in memory

Checking for registry keys affected by Troj/Banker-R


Checking for files affected by Troj/Banker-R

Scanning C:

Error opening file C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT

Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG

Error opening file C:\Documents and Settings\Zaynab\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat

Error opening file C:\Documents and Settings\Zaynab\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\Zaynab\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\Zaynab\Configuración local\Historial\History.IE5\index.dat

Error opening file C:\Documents and Settings\Zaynab\Cookies\index.dat

Error opening file C:\Documents and Settings\Zaynab\Datos de programa\Microsoft\Office\Reciente\?????).LNK

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea IeXLAJHNKpztxkUoLaKwqjkIPvBdXY4AGskMWL8pXA5j3v0kPj caExzh_kq8EpDAABR4W3VLRxJgx7_enxFvkRCVAzHgXSmccSp[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea IxmuZFYKmxqp_xjuFct5usClMnPzxzmzowT1HBcAKp1bMribGk LLoyVCgo-Ysc4pvtrM1v4uunKpp5BN8QatG90DXDvUvsFy6F0[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea JgpdNK15sXGqUOe41mGMEjfl8K6yibR3sRTLDlWpTn_Biz5hbP 2n7cDre50-V4yWInLxaMa3AwQEfQaerfXjeb1Sys0_AIX-5LW[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea KInx8eAYnQ7VnnmwowPUW4l3RXhRkRFFmaN0Yo6ZTFI9sc715V bpmCTiFNVPdswvFQnAyDezSAND3qIsgPTVtC53rcsL4NaJLde[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea KKO7j-gQ_5m-VkFA2aZGB8wtwP0RzX6aNGxmB8gIUOFXMYMv515UtKBfjfcK5n S3HSnifJMRSL6lhongc2S-2hoppaiyjrUnf02[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Escritorio\-LA GALERIA FAMILIAR-\1.-childrens\1-a-mohammad\varios\muxo beti\x1pxOYwqu4SjF4oKvG0sRc84y7AV9J3Rxi2FxE4ws3Kea LYRwgXt4vz-mxieScXs4C1PUqgfgVGoawhK0CirPeFWZWdRXGm3uMv5crG-C9Oa5TNt7pBXIV1d8_KRm4YThE257jFkiRyHbbLz[1].jpg

Error opening file C:\Documents and Settings\Zaynab\Favoritos\arts\~ ??? ?d???a? ~.url

Error opening file C:\Documents and Settings\Zaynab\Favoritos\idiomas\???? ?????? ?????.url

Error opening file C:\Documents and Settings\Zaynab\Favoritos\islam\Islamweb - ?????? - ??? ????? ??? ???? ??????.url

Error opening file C:\Documents and Settings\Zaynab\Favoritos\islam\????? ???? ???????.url

Error opening file C:\Documents and Settings\Zaynab\Favoritos\islam\???? ???????.url

Error opening file C:\Documents and Settings\Zaynab\ntuser.dat

Error opening file C:\Documents and Settings\Zaynab\ntuser.dat.LOG

Error opening file C:\Documents and Settings\Zaynab\Reciente\?????? - 2.lnk

Error opening file C:\pagefile.sys

Error opening file C:\resolve.log

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Scanning D:

Error opening file D:\-LA GALERIA FAMILIAR-\1.-childrens\1-b-abdennour\?????.3gp

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\?????? ????.rtf

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\?????).rtf

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\????.rtf

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\????? Rich Text ???? (2).rtf

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\????? Rich Text ???? (3).rtf

Error opening file D:\al maktab de zay\carpetas temáticas\HASSAN\????? Rich Text ????.rtf

Error opening file D:\al maktab de zay\carpetas temáticas\ISLAM\& OTHERS\??? ??????husni-l-muslim.doc

Error opening file D:\al maktab de zay\carpetas temáticas\ISLAM\en árabe, subhanallah-du'as, etc\?? ???? ?? ?????.doc

Error opening file D:\al maktab de zay\carpetas temáticas\ISLAM\ISLAMIC BOOKS\& OTHERS\??? ??????husni-l-muslim.doc

Error opening file D:\Favoritos\ARTES APLICADAS\lf116, Graphics ?????? ? ??????? ?? ????.url

Error opening file D:\Favoritos\herramientas zaynab\greetings\?????? ???????.url

Error opening file D:\Favoritos\herramientas zaynab\greetings\?????? ????? ?????????.url

Error opening file D:\Favoritos\herramientas zaynab\Links\????? La luz del Islam ?????.url

Error opening file D:\Favoritos\herramientas zaynab\nasheed\greeting con nasheed\?????? ????? ?????????.url

Error opening file D:\Favoritos\herramientas zaynab\nasheed\?????.url

Error opening file D:\Favoritos\herramientas zaynab\????? Cristianos por ALLAH ?????.url

Error opening file D:\Favoritos\LENGUA ARABE\? » Arabic Alphabet Tutorial - FREE Arabic Reading-Writing Course - Read Arabic Script.url

Error opening file D:\Favoritos\MUSULMANAS E ISLAM\de interés\Islamweb - ??????.url

Error opening file D:\Favoritos\MUSULMANAS E ISLAM\de interés\????? ???? ???????.url

Error opening file D:\Favoritos\MUSULMANAS E ISLAM\?????? ????? ?????????.url

Error opening file D:\Favoritos\NOMINALES\mh\?????.url

Error opening file D:\Mis imágenes\artes aplicadas\scraps\Elements\?????? 2.jpg

Error opening file D:\Mis imágenes\artes aplicadas\scraps\Papers\?????? 1.jpg

Error opening file D:\Mis imágenes\artes aplicadas\scraps\unzziped scraps\?????? - 2.rar


Removing Troj/Banker-R entries from C:\WINDOWS\system32.ini
Could not find any Troj/Banker-R entries in C:\WINDOWS\system32.ini

Removing Troj/Banker-R entries from win.ini
Could not find any Troj/Banker-R entries in win.ini

System scan finished at 11:23 on 27 April 2008

Infected processes found : 0
Processes terminated or disinfected : 0
Ini file entries affected : 0
Ini file entries changed : 0
Registry keys affected : 0
Registry keys changed : 0
Infected files found : 0
Infected files deleted : 0


por cierto, que en el modo seguro no me aparecía mi antivirus ni en el listado de todos los programas, así que me era imposible desactivarlo.
Otro obstáculo es que decía que tenía que actuar como Administrador, y yo estaba actuando desde la cuenta de administrador, o eso creía.

Reinicié en modo normal.

este el reporte del Bankerfix
BankerFix 2.5b - Removedor de Bankers
Linha Defensiva - http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
Data: 27/04/2008 - 11:47
-------------------------------------------------------
Lista de Definição: 2008-02-22-1
================================================== =====


Killando arquivos em Help
-----------------------------------

Killing '*'

Removendo Arquivos em Help
-----------------------------------



----- Fim -------------------------

Luego instalé el Malwarebytes
y para mi sorpresa el
C:/WINDOWS/system/tkcom32.dll no aparecía por ninguna parte, así que imposible eliminarlo.

Realicé un scaner completo, aquí va el reporte:
Malwarebytes' Anti-Malware 1.11
Versión de la Base de Datos: 689

Tipo de examen : Examen Rápido
Objetos examinados: 46903
Tiempo transcurrido: 13 minute(s), 48 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 10

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{ffffffff-8f0d-4322-b01f-b42439e0b71c} (Spyware.Banker) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ffffffff-8f0d-4322-b01f-b42439e0b71c} (Spyware.Banker) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Banker) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\hi.sfc (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\Fonts\CandyStoreBV.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\CareBearsFont.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\EngrossingScript.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\HoneyScriptSemiBold.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\letras_garabatos.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\Mazarin.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\MCSweetieHearts.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\Moravia.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmds.txt (Malware.Trace) -> Not selected for removal.

hubo tres que no eliminé porque era de los programas que me habíais recomendado...¿hice mal? pensé que se trataría de los falsos positivos.

en fin, ahora estoy pasando el escaner del NOD32, pero tarda más de una hora por la cantidad de archivos que tengo.
::ups::
Muchas gracias, por todo, espero nuevas instrucciones o comentarios.
ah! si, ahora empezaré con el CCleaner.
:afirmar:

Aquí estoy de nuevo
el NOD32 dice que la memoria operativa está correcta.
no obstante, ha ocurrido un error mientras se analizaba el sector MBR del disco.
Hay un montón de archivos que están bloqueados (clave 4)
Cantidad de virus infectados: O. (ojalá)

He pasado el Limpiador del CCleaner
quiero pasar a la opción Registro pero no se como hacer una copia de seguridad, puesto que tengo XP Home, y por lo visto, esta versión reducida no tiene esa opción, aunque si puede solventarse teniendo el CD, del cual no dispongo. por tanto, mientras no sea capaz de hacer la copia de seguridad, tema que estoy investigando (que me decís del Covian Up?) no me atrevo a pasar a REgistro.

Creo que no es muy ortodoxo en el foro hacer más de una pregunta, aunque está completamente relacionada con el tema, no estoy segura, el caso es que quisiera hacer una consulta, en el REgistro me dice que hay una .dll compartida faltante, para más de 20 items, y luego extensiones de archivo inválidas, etc.... sugerencias?

Espero vuestras indicaciones. Gracias.

Hola.

La copia de seguridad del Ccleaner se hace luego de ejecutar la limpieza del registro, solo se acepta cuando el programa pregunta y luego se pulsa en si.

Elimina BANKRGUI y Bankerfix.


Despues:
Paso 1.- Descarga The Avenger (http://www.forospyware.com/t77789.html) y lo guardas en el escritorio.

Paso 2.- Reinicia en modo seguro (http://www.forospyware.com/292284-post4.html).

Paso 3.- Ejecuta The Avenger.

Descomprime Avenger.zip.
Doble click sobre Avenger.exe.
Click en "Aceptar".
En el Recuadro Blanco que esta debajo de "Input Script here"; Copias y pegas el siguiente Script



Files to delete:
C:\WINDOWS\system32\hi.sfc
C:\WINDOWS\system32\cmds.txt



Registry Keys to delete:
HKEY_CLASSES_ROOT\CLSID\{ffffffff-8f0d-4322-b01f-b42439e0b71c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ffffffff-8f0d-4322-b01f-b42439e0b71c}



Verificar que la Casilla de "Scan for rootkit",este marcada.
Click sobre "Execute" , Clic sobre "Aceptar".
Tu pc sera reiniciada; esto es normal.
Al Reiniciar The Avenger se genera un reporte en C:\Avenger.txt, copia y pega aqui el contenido.



Paso 4.- Reinicias en modo normal y ejecutas: Ccleaner (http://www.forospyware.com/t39511.html).

Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Lo haces en cada una de las cuentas de usuario que hayas creado.


- Pega el reporte de The Avenger para revisarlo.
- Para mayor comodidad imprime los pasos.

Saludos.

hola,

Descargué el avenger en el escritorio y reinicié en modo seguro
el problema es que el Avenger no aparecía por ninguna parte en el escritorio en el modo seguro, ni en Inicio/ todos los programas tampoco...
¿qué hacer?
:rolleyes:

hice la copia de seguridad, que tenía el programa pendiente.
En cuanto al registro...le di a reparar todas las entradas...es correcto?

y eliminé del ordenador el BANKRGUI, Y el bankerfix.exe (o eso espero)

sigo aquí, esperando indicaciones, gracias por partida doble pues soy consciente de que es domingo...
:frown:

Hola.

Busca The Avenger en la cuenta donde lo descargaste.

Y si tenias que reparar todas las entradas del registro con el Ccleaner.