Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola

Recibí un portatil del trabajo/curro/laburo infectado. Mi antivirus Sophos lo identíficó como el troyano RkProc-Fam. El sitio del antivirus recomienda el uso de rkprfgui.com, pero al correrlo me advierte que como no soy el administrador no podrá desinfectar la máquina totalmente, y en efecto al terminar de correr sophos sigue detectándolo. El portatil sólo tiene cuenta de administrador (Windows XP PRO). Alguna idea?

Hola

Como recomendación para tu trabajo/curro/laburo, hay otros antivirus mejores que el Sophos, puedes probar nod32, Kaspersky o incluso un antirootkit como AVG Antirootkit o GMER.

Todos ellos los puedes encontrar en la página de infospyware.com

También puedes usar los antivirus online, que suelen ser lo mejor en detección.

Salu2

Qué rapidez! (soy nuevo en el foro). Sí, usé un antivirus online que recomentdaban en una discusión de este foro sobre eliminar el mismo troyano, y encontró nada menos que 51 infecciones. Pero no pude limpiarlas de todos modos por la alegada "falta de privilegios de administración", que es lo que me tiene perplejo.

Lo que podés hacer es entrar a en modo seguro y usar la cuenta de administrador, o en modo seguro con funciones de red para los antivirus online.


Salu2

Bien, sigo infestado pero con mas info que antes.

Reinicié en modo seguro con funciones de red, cuenta de administrador, y escanee el disco con

www.ewido.net/en/onlinescan

Encontró un poco de todo. Le dí a `eliminar infectados` y escanee con

www/kaspersky.com/kos/spanish/kavwebscan.html

todo el rígido. Encontró dos bicharracos:

el driver yqfprhqr.sys infectado por Backdoor.win32.PcClient.wi
y el file yqfprhqr.d1l infectado por Backdoor.win32.PcClient.xp

Varios otros archivos de C:\WINDOWS\system32\[config,drivers,wbem]
los reportaba como "Object is locked".

Por cierto, ese yqfprhqr.sys es el controlador que Sophos reportaba infestado...

Lo que podes hacer es pagarnos el reporte del Kaspersky Online aquí, cosa de que nosotros lo analicemos y te digamos que hacer.

Aquí tienes más indicaciones de como sacar el reporte:
Manual de Kaspersky Online Scanner


Salu2

Acá está la salida del scanner

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
lunes, 24 de diciembre de 2007 7:24:14
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 24/12/2007
Registros en la base antivirus: 492724
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\

Estadísticas:
Número de objeros analizados: 50562
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:47:39

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120071224200712 25\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
C:\Documents and Settings\Ciemat\Datos de programa\VMware\featuredvm.ini Object is locked saltado
C:\Documents and Settings\Ciemat\Datos de programa\VMware\featuredvm.png Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{AAD14527-40AD-4A75-A139-D68899AD3DBE}\RP152\change.log Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\yqfprhqr.sys Infectados: Backdoor.Win32.PcClient.wi saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\system32\yqfprhqr.d1l Infectados: Backdoor.Win32.PcClient.xp saltado

Análisis completado.


Gracias

Bueno ahora lo que debes hacer es iniciar en modo seguro y borrar estos 2 archivos:

• C:\WINDOWS\system32\yqfprhqr.d1l
• C:\WINDOWS\system32\drivers\yqfprhqr.sys

También los pueedes borrar con FileASSASSIN.

Luego vuelve a escanear con Sophos y/o Kaspersky y ves que tal.


Salu2

Se complica...

Borré los archivos, reinicié, y el resultado del scan con kaspersky es el que ven acá abajo. Un infectado, con ese nombre infernal. Y esta vez no se dejó borrar: "C:\System Volume Information" parece no existir para el símbolo del sistema... Quien hizo este bicho, Bruce Willis?

Ahora que miro bien, en Mi PC->Disco local (C:) veo
dos directorios sospechosos:

C:\cc56596ec97f1a1be70b9867e5
conteniendo los directorios
SP2GDR
SP2QFE
update
y los archivos
spmsg.dll
spuninst (cuyo ícono dice "Desinstalar Windows Service Pack")

y C:\4edf94cf5aaae40f6ba3b4b5ccbb5b
conteniendo el archivo
msxml4-KB927978-enu

Pueden tener algo que ver?
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
lunes, 24 de diciembre de 2007 13:35:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 24/12/2007
Registros en la base antivirus: 492971
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\

Estadísticas:
Número de objeros analizados: 50664
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 00:50:57

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120071224200712 25\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
C:\Documents and Settings\Ciemat\Datos de programa\VMware\featuredvm.ini Object is locked saltado
C:\Documents and Settings\Ciemat\Datos de programa\VMware\featuredvm.png Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{AAD14527-40AD-4A75-A139-D68899AD3DBE}\RP152\A0044709.sys Infectados: Backdoor.Win32.PcClient.wi saltado
C:\System Volume Information\_restore{AAD14527-40AD-4A75-A139-D68899AD3DBE}\RP152\change.log Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.

Bueno, las carpetas que califiqué de "sospechosas" resultaron ser nada menos que upgrades de seguridad de Windows (por qué semejantes nombres?). El virus en "información del volumen" pude borrarlo con el FileASSASIN. Lo que queda ahora son dos archivos ocultos en RECYCLER (mi papelera está vacía) que no puedo borrar ni con el FileASSASIN. Debería preocuparme o puedo considerar cerrado el caso?