Buenas tardes,

He scaneado el PC con el AVG Free Edition y me ha detectado un virus en la
tabla de partición (MBR). El nombre del virus es Psw.Sinowal.c.boot. El antivirus no lo elimina.
Alguien me podría explicar como resolver el problema. De momento no he notado
ninguna anomalia en el funcionamiento del PC.

Gracias y un saludo.

Hola crazyhorse:

Bienvenid@ a "InfoSpyware"



Realiza estos pasos:

- Usa el Ccleaner(Manual) para limpiar el sistema,primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).



Haz un escaneo online con:

• Ewido con la opción Remove Infections activada (lee el "Manual") <== Elimina todo lo que encuentre
• Kaspersky (lee el "Manual")
  con la opción analizar Mi PC

Si hay algo que te detecte, pegas aquí el reporte que te genere el Kaspersky


Recuerda volver y contarnos los resultados


Saludos.

Antes de nada, muchas gracias por la ayuda.

He realizado los pasos que me has indicado. El Ewido ha podido eliminar una serie de archivos infectados. Posteriormente he ejecutado el Kaspersky online y me ha proporcionado el siguiente informe:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 20 de septiembre de 2008 12:13:53
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 20/09/2008
Registros en la base antivirus: 1247070
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 32921
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:41:28

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-536.0000 Infectados: not-a-virus:AdWare.Win32.BetterInternet.ct saltado
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-538.0000 Infectados: not-a-virus:AdWare.Win32.BetterInternet.wo saltado
C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Historial\History.IE5\MSHist0120080920200809 21\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Temp\Perflib_Perfdata_b88.dat Object is locked saltado
C:\Documents and Settings\Miguel\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\ntuser.dat Object is locked saltado
C:\Documents and Settings\Miguel\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Prefetch\layout.ini Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_568.dat Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Hola,

- Eliminas los Temporales de Windows:

• Clic en Inicio > Ejecutar ==> Escribes: %TEMP%
• Cuando se abra la ventana del Explorador de Windows, pulsa CTRL+E
• Pulsa la tecla SUPR y confirma el borrado de todo, incluyendo los ejecutables
• Haces clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

- Descarga e instala, pero no los ejecutes aún:

• Ccleaner.
  
• Dr Web Cure-IT. Manual.
  
• Malwarebytes' Anti-Malware. Manual.
  
  Nota: Si después de instalarlo el lenguaje esta en Inglés ve a la pestaña "Settings" y lo cambias a Español.

- Apaga el Restaurar Sistema (solo en Win Me y XP) y activa ver archivos ocultos.


- Reinicia en Modo Seguro (a prueba de fallos). Ejecuta de a uno:

1. Malwarebytes' Anti-Malware;
   1. Pulsas en la pestaña "Mas Herramientas" y usa el "Fileassassin" para eliminar los siguentes archivos:
      
      C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-536.0000
      C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-538.0000
      
      
      
      
      • Realiza un escaneo completo del PC y elimina las infecciones que este detecte.
      • Esto es fundamental, mandalas a cuarentena y eliminalas desde allí; pegas el reporte generado después de la eliminación.
      • El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.
        
      
      
2. Dr Web. Sigue las instrucciones de su manual.

- Reinicia en modo normal:

1. Ejecutas el Ccleaner;
   • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
   • Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
   • Lo haces en cada una de las cuentas de usuario que hayas creado.
   
   
2. Analizas Mi Pc con: Kaspersky Antivirus online.

- Pegas los reportes de Dr Web, MalwareBytes y Kaspersky para revisarlos.
- Deshaces "ver archivos ocultos" y reactivas el "restaurar sistema".


Saludos.

Hola $Cratus,

Parece que ya he podido resolver el problema. Mientras esperaba que me recomendárais una solución encontré una consulta similar con el Google y parece que ha funcionado (el AVG ya no da reporte del virus). Te anoto a continuación el enlace donde se explica el prodecimiento recomendado que he seguido (está en inglés):

http://www.daniweb.com/forums/thread134861.html

Este es el 1er reporte que me daba el mbr.exe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x4a85300 size 0x1ad !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

y este después de realizar el procedimiento:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




Mientras escribo esto, acabo de recibir tu respuesta. Continuaré pasando las herramientas antivirus y te digo alguna cosa.

Gracias.

Hola de nuevo,

He realizado todos los pasos que me has indicado. El análisis con el Kaspersky sigue dando 2 virus. Al intentar eliminar los 2 archivos que me decías:

C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-536.0000
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-538.0000

con el "Fileassassin" me decía que los había eliminado, pero si iba a mirar, los archivos seguían existiendo. Te adjunto los reportes de las aplicaciones ejecutadas:

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1180
Windows 5.1.2600 Service Pack 1

20/09/2008 15:47:51
mbam-log-2008-09-20 (15-47-51).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 71494
Tiempo transcurrido: 15 minute(s), 40 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\LocalService\Datos de programa\NetMon (Trojan.NetMon) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Documents and Settings\LocalService\Datos de programa\NetMon\domains.txt (Trojan.NetMon) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Datos de programa\NetMon\log.txt (Trojan.NetMon) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.i co (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ClickToFindandFixErrors_RON.ic o (Malware.Trace) -> Quarantined and deleted successfully.


Dr Web Cure-IT
WHCC2.exe\whAgent.exe;C:\WINDOWS\WHCC2.exe;Adware. WebHancer;;
WHCC2.exe;C:\WINDOWS;Archivo comprimido contiene objetos infectados;Movido.;



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 20 de septiembre de 2008 17:47:03
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 20/09/2008
Registros en la base antivirus: 1246688
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 31861
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:34:24

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-536.0000 Infectados: not-a-virus:AdWare.Win32.BetterInternet.ct saltado
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-538.0000 Infectados: not-a-virus:AdWare.Win32.BetterInternet.wo saltado
C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Configuración local\Historial\History.IE5\MSHist0120080920200809 21\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Miguel\ntuser.dat Object is locked saltado
C:\Documents and Settings\Miguel\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Prefetch\layout.ini Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_520.dat Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.




Eso sí, el AVG Free ya no encuentra el virus Psw.Sinowal.C.boot.


Saludos.

Hola,


no se si has eliminado los archivos que te dije o no. mira a ver por que es lo que detecta el log.


C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-536.0000
C:\Archivos de programa\ѕуmbols\MBOLS~1\ctxad-538.0000

No son virus si no adware's pero sería interesante eliminarlos.



Saludos.

Hola $Cratus,

He eliminado los dos archivos a mano y he vuelto a pasar el Kaspersky online. El reporte ha sido positivo, puesto que ya no ha detectado ninguna infección. Creo que ya podemos dar el tema por solucionado.

Muchas gracias por vuestra ayuda.