Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola espero que alguien pueda ayudarme porque estoy volviendome loca.
Ayer de un momento a otro me encontré que mi antivirus (avast) había desaparecido y no puedo activarlo de nuevo porque dice que no es una aplicación win32 válida. Tampoco funciona Ccleaner ni msn. Instalé otro antivirus (not32) pero sale el mismo error y tampoco funcionan programas como Hijack. Tras instalar y pasar el Malwarebytes encontró ciento y pico infecciones que eliminó. Esta mañana volvía a tener otra infección que el ELIBAGLE me dijo que era un gusano bagle en system32/drivers/srosa2 que habría entrado con un programa. Creo que ese ya está eliminado porque ya no aparece en Malwarebytes pero ahora me aparecen otros cuatro: system32/drivers/cydic.sis, system32/wintems.exe, HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Bmpn
y HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/bmpn.

No entiendo mucho de esto y empiezo a perder los nervios porque hace tan sólo dos semanas que por culpa de un troyano se bloqueó mi sistema y tuve que llevar el ordenador a arreglar y perder todos mis archivos :( asi que estoy otra vez muy asustada y no se que más puedo hacer muchos programas que he leído que podrían ayudarme no se me inician y estoy desesperada.Temo a que me pueda entrar otro peor por estar sin antivirus asi que necesito actuar ya.

Espero que esto esté bien aquí ya que es la primera vez que participo y espero una respuesta lo antes posible.Gracias de antemano

ola al foro

si puedes realisa un escan on line con el karpezkylees su manual y regresa con el reporte, a si sera un poco mas sencillo que los expertos te ayuden

saludos

ola , tambien te recomiendo este programa :fs-fixbaglelo encuentras al final del post, lees el posta para que te orientes mejor .
saludos

Aquí estoy de nuevo. Ante todo muchísimas gracias por responder.

Gracias a fs-fixbagle, Ccleaner y los programas que había descargado para intentar limpiarlo ya funcionan, pero el antivirus sigue siendo no válido ¿bastará con volver a instalarlo cuando esté todo limpio?
La verdad, estoy harta de eliminar bichos y que aparezcan otros asi que no se cuando va a estar limpio de una vez....

Bueno aqui va el reporte del Kaspersky a ver que les parece. Ahora entiendo todo porque los dos archivos que son descargas bajaron justo un poquito antes de que desapareciera el antivirus, mientras estaba hablando por msn que luego dejó de funcionar también. Ahora los eliminé con File Asassin. Los dichosos srosa y winfilse los había eliminado muchas veces y volvieron a aparecerNo entiendo nada....bueno en estos momentos según UnhackMe no hay troyanos, según elibagla no hay gusano y según Malwarebytes no hay infecciones pero no me hago muchas ilusiones porque anoche decían lo mismo y esta mañana al encenderlo había vuelto el gusano (aunque al haber borrado esas descargas quizas ya no vuelva no?)

bueno aquí va:

Sunday, November 16, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, November 16, 2008 09:50:47
Records in database: 1387356


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
D:\
E:\
F:\

Scan statistics
Files scanned 40945
Threat name 5
Infected objects 11
Suspicious objects 0
Duration of the scan 01:19:52

File name Threat name Threats count
C:\Archivos de programa\Internet Explorer\msimg32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv 1

C:\Archivos de programa\Windows Live\Messenger\msimg32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv 1

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe Infected: Trojan-Downloader.Win32.Bagle.afy 1

C:\Archivos de programa\Windows Live\Messenger\riched20.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cj 1

C:\Documents and Settings\Administrador\Mis documentos\Mi música\descargao\Pinnacle VideoSpin 1.1.zip Infected: Trojan-Downloader.Win32.Bagle.afy 1

C:\Documents and Settings\Administrador\Mis documentos\Mi música\descargao\Ulead MediaStudio Pro 8.zip Infected: Trojan-Downloader.Win32.Bagle.afy 1

C:\Documents and Settings\Administrador\SOUNDMAN.EXE Infected: Trojan-Downloader.Win32.Bagle.afy 1

C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\WINDOWS\system32\drivers\SROSA.SYS.del Infected: Trojan-Downloader.Win32.Bagle.afl 1

C:\_FixBagle\Backups\C\WINDOWS\system32\drivers\sr osa.sys.MoveEx Infected: Trojan-Downloader.Win32.Bagle.afl 1

C:\_FixBagle\Backups\C\WINDOWS\system32\drivers\wi nfilse.exe.MoveEx Infected: Trojan-Downloader.Win32.Bagle.afy 1

The selected area was scanned.


Y aquí el reporte de fixbagle después de ese scaneo online:

~~~~~~~~~~~~~ Objetos Encontrados

~~~~~ Archivos

C:\InfoSat.txt" - Eliminado
~~~~ Carpetas


~~~~ Catchme Detector

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 14:20:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden files: 0


~~~~ Registro


[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00, 74,00,65,00,6d,00,72,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00 ,65,00,6d,00,33,00,32,00,\
5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20 ,00,30,00,20,00,2d,00,6b,\
00,00,00
"SoundMan"="SOUNDMAN.EXE"
"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp. exe"
"RemoteControl"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"LanguageShortcut"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\Language\\Language. exe\""
"DataLayer"="C:\\Archivos de programa\\Archivos comunes\\PCSuite\\DataLayer\\DataLayer.exe"
"PCSuiteTrayApplication"="C:\\Archivos de programa\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"NeroCheck"="C:\\WINDOWS\\system32\\\\NeroCheck.ex e"
"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Nero\\Lib\\NeroCheck.exe"
"NBKeyScan"="\"C:\\Archivos de programa\\Nero\\Nero8\\Nero BackItUp\\NBKeyScan.exe\""
"nod32kui"="\"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE"
"VirusKeeper"="C:\\Archivos de programa\\AxBx\\VirusKeeper 2006\\VirusKeeper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce\ApprovedByRegRun2]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce\ApprovedByRegRun2\AntiRepl]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce\ApprovedByRegRun2\AntiRepl\0]
"Operation"=dword:00000001
"Source"=""



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
----\\FS-FixBagle - (Version - 1.0.7) - Finalizacion: 14:22:25,63, 16/11/2008

----\\Se creo una carpeta en C:\_FixBagle, con una copia de los archivos eliminados

~~~~~~~~~~~~~~~~~~E O F~~~~~~~~~~~~~~~~~~~~~~~~~~~


Bueno y ahora que hago??

ola

----\\Se creo una carpeta en C:\_FixBagle, con una copia de los archivos eliminados.

revisa esa carpeta y me comentas como sigue el pasiente porfavor
si ves alguna mejoria o sigue igual ....

saludos

Si efectivamente alli está Infosat.txt.MoveEx y carpeta WINDOWS/system32 y carpeta drivers con los dos archivos, srosa.sys.MoveEx y winfilse.exe.MoveEx

¿Que hago con ellos? ¿borro todo?


Muchas, muchas, muuuuchas gracias nuevamente.

*Nota* Si FS-FixBagle, encuentra el Driver/Rootkit, srosa.sys, sera necesario reiniciar el odenador, por lo que debe permitir que FS-FixBagle, reinicie el ordenador.
si elimina todo eso y si te dise que se deve reinisiar ...

Hola, si no quieres que te vuelva a pasar lo que te ha pasado con el virus te recomiendo el panda Internet Security 2009,ademas de que al ejecutar cualquier archivo te lo analiza.Yo te lo recomiendo porque me ha salvado de ejecutar virus que conoce y que no conoce,sin analizarlos.

@Anoika: Ya no es necesario que el ordenador se reincie, pues si ya estan eliminados, ya no hay por que reinciar, el reinicio se pide, para eliminar el reiniciar el archivo.

Para eliminar esa carpeta y otros componentes de FS-FixBagle, haga lo siguiente:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: FS-FixBagle_Uninstall como muestra la imagen debajo:
  
  • 
• Esto desinstalara FS-FixBagle, espere unos segundos veras un aviso con el siguiente Texto "FS-FixBagle, ah sido desinstalado"

Cuentenos como esta funcionando la PC

Salu2!

Gracias a todos por sus consejos.

Después de tanta lucha por fin creo que ya he eliminado todos los archivos maliciosos, de momento los programas no detectan nada más (a ver cuanto me dura...) y parece que la cosa está bastante normal.

Que debo hacer ahora para asegurarme de que está limpio antes de probar a instalar el antivirus otra vez??


Gracias!