Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos, soy nueva por aquí, aunque he visitado varias veces el foro para resolver otros problemas. Pero esta vez me tengo que registrar porque no encuentro manera de arreglar el bicho que tengo. Porque creo yo que será un bicho...

Los problemas que tengo con el ordenador son:

Primero tuve el problema "Recycler" de abrir los discos duros, vamos, que al hace doble click no lo abría porque pedía un archivo:

RECYCLER\s-8-5-41-100029645-100000985-100017046-8582.com

Y sólo los podía abrir por medio de click derecho-explorar. Al final solucioné este problema quitando el archivo autorun.inf de los discos duros (dos particiones del interno y uno externo)--> podía abrir los discos normalmente. Parecía un virus de USB, lo encontré por algun foro de ayuda y lo borré manualmente.

Luego Norton me pidió un upgrade, y al actualizar se chafó, de modo que tuve que volver a una versión anterior... Desde ese momento me di cuenta de que no podía acceder a determinadas webs de ayuda antivirus como:

http://grownupgeek.com--> me redirecciona a otras webs o directamente me dice que la dirección www.google.com/? no existe
www.safer-networking.org-->servidor no encontrado
www.malwarebytes.org--->servidor no encontrado

Trato de bajarme el Spybot S&D pero como no conecta a los servidores, no se instala correctamente a no ser que desactive la "actualizacion durante la istalacion". Lo hago y se instala, pero no funciona. Aparece en los procesos del administrador de tareas, pero no aparece ninguna ventana. De modo que lo desinstalo.

Intento pasar el karspersky online, pero no puede actualizar la base de datos al no conectar al servidor, de modo que no arranca. Paso el panda online y me detecta un par de cookies.

El norton no detectaba nada, y al hacer una actualizacion de base de datos, volvió a chafarse, no podía usar el escritorio. No podia desistalarlo en modo a prueba de fallos... Hasta que lo quite del menu inicio, parece que arranco el sistema bien y lo desinstalé para poner un antivirus gratuito de los recomendados por aquí.

Me bajo el AVG Free edition, se instala bien (puedo entrar a www.avg.com y a www.free.avg.com) pero al actualizar falla porque no puede entrar al servidor de actualización (guru.avg.com, guru1.grisoft.cz etc). Descubro que se puede actualizar manualmente, descargo los binarios y actualizo, paso el escaner y detecta un monton de cookies y algun troyano (Dropper.BravixL, FakeAlert.GL y Generic_c.YAB) y un virus (Win32/Cryptor)

Se supone que los desinfecto pero sigo sin poder acceder a esas webs. No es un problema de firewall porque sólo tengo el de windows (tras desinstalar Norton) y no siquiera desactivandolo puedo acceder. Si hago ping a esas páginas no puede encontrar la dirección. Es como si la solicitud no saliera del equipo.

Me he bajado el malwarebytes 1.33, con la versión de la base de datos de virus 1654 (y tampoco puedo actualizarlo porque no accede al servidor, y no encuentro de dónde bajarme las actualizaciones manualmente de otra web que no sea www.malwarebytes.org). Analizo y no detecta nada.

Bajo el SuperAntispyware (version 4.25.1012, core 3724, trace 1698) y lo actualizo manualmente, paso el scan y me detecta otra vez varias cookies y tambien Rootkit.Agent/Gen-GAOPDX. Se supone que lo arregla...

Reinicio y nada, sigue sin poder acceder a esas webs, si arranco el Internet Explorer para pasar otro antivirus online que necesita ActiveX se queda congelado, cuando navego por internet a veces google falla, salen de vez en cuando ventanas de anuncios, a veces redirecciona... y la mayoria de los anuncios que salen son de unas pastillas para agrandar el tamaño de... ejem... vamos, que o estan pagando una pasta o algún bicho me cambia los anuncios por ese...

Más datos, funciono con Windows XP SP2. Con los problemas del Norton se me borraron los registros de restaurar sistema. Y resulta que ahora no puedo crear puntos de restauración. Pude bajar el Hijack this y pasarlo, pero prefiero que me aoconsejeis antes de pegar el tocho-log...

Estoy ya desesperada, llevo dos días dándole vueltas y leyendo foros y no hay manera. Y ya tengo miedo de estar haciendo una chapuza. Si pudiérais por favor echarme una mano y decirme paso a paso lo que tengo que hacer a ver si se arregla esto de una vez...

Muchas gracias por la atención y perdón por lo largo del post, pero queria dar la mayor cantidad de atos posible ^^

Hola HanamiS. Bienvenida al foro.

* Primero vamos a descargar los siguientes programas:

- delpsguard (está al final de la página del enlace que te dejo): Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked
- Dr. Web CureIt: Anti-Virus - Info Spyware
- CCleaner: Herramientas - Info Spyware
- Descarga y actualiza Malwarebytes' Anti-Malware: Manual de Malwarebytes' Anti-Malware


* Ahora, vamos a seguir estos pasos:

1.- Apagar restaurar sistema: Listado de procedimientos

2.- Ver archivos ocultos: http://www.forospyware.com/292282-post3.html

3.-Reiniciar en modo seguro/a prueba de fallos: Listado de procedimientos

4.- Ejecuta delpsguard, siguiendo los pasos que marca su manual: Manual DelPSGuard

5.- Ejecuta Malwarebytes' Anti-Malware:
a). Marcar la opción Realizar un Examen Completo
b). Al finalizar el analisis hacer clic en Quitar lo Seleccionado para proceder a la desinfección. (Reinicia)
c). Al finalizar la desinfección, Busca el Reporte en la pestaña Registros, Copialo y Pegalo en el tema


6.- Reiniciar nuevamente en modo normal y ejecuta CCleaner para terminar de limpiar los archivos temporales, cookies y archivos innecesarios del PC. Primero en su opción de limpiador, y después en su opción de Registro. Ver manual: Manual de CCleaner

7.- Ejecuta Dr. Web CureIt. Primero en su opción de escaneo rápido, y después un escaneo completo. Cura o elimina (lo incurable) todo lo que encuentre, de acuerdo a su manual: Manual de Dr. Web Cure-IT

8.- Activa de nuevo Restaurar sistema, y oculta de nuevo los archivos.

9.- Realiza un analisis online con Panda ActiveScan 2.0: ActiveScan 2.0 - Tu segunda opinión sobre la seguridad de tu PC


* Ya me cuentas que tal ha ido todo. Pega los reportes que generen malwarebytes, el delpsguard, y Panda ActiveScan 2.0.

Suerte. Un saludo.
Pd: algunos programas, como malwarebyte's, he visto que ya los has ejecutado; pero vuelve a ejecutarlos como te comento en el procedimiento anterior. Si algún paso no lo puedes realizar, lo saltas y sigues con el siguiente. En tu próximo mensaje, me dices las incidencias que hayas podido tener.

Y has hecho muy bien, pues cuántos más datos des acerca de tu problema mejor se te va a poder ayudar. Para solucionar tu problema necesito que me respondas a esta pregunta: ¿tienes acceso a otro ordenador distinto del tuyo?

Hola de nuevo y gracias a los dos por las rápidas respuestas. Antes de empezar con el procedimiento que me indica Halcón hispano, respondo, sí, mi hermano tiene un portátil personal, con el que accede a internet con mi misma red y tampoco puede acceder a esas web (comparto la red con un access point USB tipo WiFI-Link).

Y tiene otro portátil, del trabajo, con el que se puede conectar via 3G, con un modem movil de telefónica, de modo que tendría acceso a una red independiente, y ahí las webs sí funcionan.

Espero que sirva, ahora a descargar y analizar...

Edit: Por cierto, tengo el AVG Free antivirus y el Superantispyware funcionando, he de desactivarlos para realizar los pasos?

En principio, no es necesario que los desactives.
En tu próximo mensaje, pega los reportes que te generen.
Un saludo.

Revisá el archivo de host una vez que elimines los virus. Lo ideal sería resetearlo, que la única entrada sea "127.0.0.1 localhost". Así te asegurás que no redireccione las direcciones. Saludos

La herramienta delpsguard ya realiza esa acción. Puedes leer su manual, para utilizarlo correctamente. Del mismo te destado:

Un saludo.

Hala pues, después de toda la noche escaneando esto es lo que ha encontrado:

DelPSGuard v 5.0.0
by www.ForoSpyware.com
Reporte Creado: 23:28:18,32, 06/02/2009
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
C:\_DPSG
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32\win???32.dll ...: ! Eliminado ! :...

»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»


Tras la eliminación del virus y el reinicio hice los otros 3 pasos, de modo que arregló también el archivo host, borró las entradas 015 True zone y eliminó los cambios producidos por Virus Alert sin errores.

Luego pasé el Malwarebytes, pero sin actualizar, porque no encontré cómo hacerlo manualmente. Aún así encontró cosillas:

Malwarebytes' Anti-Malware 1.33
Database version: 1654
Windows 5.1.2600 Service Pack 2

07/02/2009 0:54:21
mbam-log-2009-02-07 (00-54-21).txt

Scan type: Full Scan (C:\|D:\|J:\|)
Objects scanned: 254052
Time elapsed: 1 hour(s), 6 minute(s), 6 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\TheSpyBot (Rogue.TheSpyBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\TheSpyBot (Rogue.TheSpyBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\aspch (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


CCleaner ha encontrado un monton de claves de registro "para arreglar", y no ha habido ningún problema al eliminarlas.

El Dr.Web Cure It me ha detectado dos virus que he eliminado: en c:\windows\system32\drivers el archivo gaopdxthwhowxd.sys estaba infectado con BackDoor.Tdss73, incurable, de modo que a cuarentena y a borrar. Y también era un posible virus sin determinar un tal temp14.temp, que también ha movido y eliminado. El resto limpio


Y el Panda online, como infectados me ha detectado dos programas que sabía que tenía y no son virus, y como sospechosos el Fs-FixBagle que me descargué de esta misma web porque alguno de los síntomas coincidía. De todos modos, esos programas "infectados" los tengo en cuenta y los volveré a escanear si necesito usarlos, porque están en .zip

VULNERABILITIES
Id Severity Description J
;==================
184379 MEDIUM MS08-001 J
182048 HIGH MS07-069 J
182043 HIGH MS07-064 J
176382 HIGH MS07-057 J
170907 HIGH MS07-046 J
170906 HIGH MS07-045 J
170904 HIGH MS07-043 J
164913 HIGH MS07-033 J
160623 HIGH MS07-027 J
157262 HIGH MS07-022 J
150253 HIGH MS07-016 J
133387 MEDIUM MS06-065 J
133386 MEDIUM MS06-064 J
133385 MEDIUM MS06-063 J
129976 MEDIUM MS06-052 J
123420 HIGH MS06-035 J
120825 MEDIUM MS06-032 J
108743 MEDIUM MS06-007 J
93394 HIGH
MS05-050



Por si sirve, pego también el log del FS-FixBagle (lo paseé antes de escribir en el foro y de hacer todos los pasos siguientes, pero no arregló nada)


1.Usuario:Administrador
2.Sistema Operativo: Windows_NT
3.Modo de Inicio: Seguro
4.Inicio: 19:45:02 - 06/02/2009
5.Unidad Fija: C:
6.Internet Explorer 7.0.5730.13

---------------[Inicio de Acciones]---------------


----------\\Objetos Encontrados:


-----\\Archivos


-----\\Carpetas


----------\\Catchme Detector

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 19:46:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Administrador\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

----------\\Registro

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
SoundMan REG_SZ SOUNDMAN.EXE
NVRaidService REG_SZ C:\WINDOWS\system32\nvraidservice.exe
StartCCC REG_SZ "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
RemoteControl REG_SZ "D:\Archivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
Acrobat Assistant 7.0 REG_SZ "D:\Archivos de programas\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
QuickTime Task REG_SZ "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "D:\Archivos de programas\iTunes\iTunesHelper.exe"
amd_dc_opt REG_SZ "C:\Archivos de programa\AMD\amd_dc_opt\amd_dc_opt.exe"
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
WService REG_SZ WService.EXE
SunJavaUpdateSched REG_SZ "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
AVG8_TRAY REG_SZ C:\ARCHIV~1\AVG\AVG8\avgtray.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

---------------[FS-FixBagle - 1.0.9]---------------


He comprobado los fallos conocidos y se han ido!!! He probado y funcionan las webs www.safer-nertworking.org y malwarebytes.org, supongo que el resto lo harán también. He intentado actualizar el malwarebytes Antymalware y ha actualizado correctamente, y lo mismo con el AVG free y el SuperAntispyware. Acabo de mirar restaurar sistema y me ha creado un punto de restauración hace media hora.

¡¡Arreglado!! Yuju!!! Gracias mil!!!

Ahora, si no es mucho pedir, para terminar me gustaría un consejillo sobre cómo eliminar el FS-FixBagle, que lei en otro post que teníais que explicar como hacerlo (lo instalé en modo seguro, de modo que está en el perfil del administrador y no parece "instalado" cuando voy a agregar o quitar programas), así como el DelPSGuard, que veo que tiene desinstalador. ¿Es suficiente con eso?. Y agradecería una recomendación sobre si dejo el Malwarebytes y el Superantispyware instalados, quito alguno o algo. Por ahora el Malwarebites se inicia sólo "on demand", mientras que el superAntispyware se inicia al inicio de windows y se queda en la systema tray. Está activo junto con AVG. Me gustaría saber si no es problema que estén los dos actuando a la vez...

Y si me podéis recomendar un firewall gratuito o si os parece que es suficiente con el de windows.

Muchas gracias otra vez, en serio, ha sido una mala noche pero al final se ha arreglado ^_^

P.D. Y también se me ha arreglado otro error, por si a alguien le pasa y ve este post. Cuando intentaba acceder al correo hotmail desde el icono de correo de Windows Live Messenger daba error, no encontraba el servidor g.msn.com. Ahora sí va directamente a la página de login del correo. Vamos, que se ha quedado el ordenador limpio como la patena



EDIT: Por cierto, acabo de ver, al ver archivos ocultos, que tengo dos papeleras de reciclaje en mi disco duro externo. Una de ellas se llama "papelera de reciclaje" con la dirección J:$RECYCLE.BIN. La otra se llama"Recycled" y es simplemente J:\Recycled. En el Disco duro interno, en la partición donde tengo la instalación de Windows tengo una carpeta C:\RECYCLER, que contiene dos carpetas con icono de papelera llamadas S-1-5-21-583907252-602162358-725345543-500 y
S-1-5-21-583907252-602162358-725345543-1003. En la otra partición del disco duro interno tengo otra carpeta D:\RECYCLER con las mismas carpetas S-1-5-21-583907252-602162358-725345543-500 y S-1-5-21-583907252-602162358-725345543-1003.

Dentro de las 2 "papeleras" del disco duro externo no hay nada. Mi duda es porque se que hay por ahí un virus o troyano que se mete en Recycler o Recycled, y no se si esto tiene que ver, porque la verdad varias papeleras con distinto nombre me resulta raro... Si está bien lo dejo, porque los antivirus y antispyware no han detenctado nada. Si simplemente es un error que se pueda arreglar agradecería instrucciones. Gracias otra vez!!!

Hola de nuevo:

Respecto a lo que comentas de la carpeta C:\RECYCLER, descarga y ejecuta Flash_Disinfector.exe: http://www.forospyware.com/attachmen...isinfector.exe, en modo seguro. Ejecutas Flash_Disinfector.exe en el PC y luego colocas el Pendrive, memoria externa, etc... en el puerto USB y ejecutarlo nuevamente.

Cita:

Nota: Flash_Disinfector creará una carpeta oculta llamado "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudara a proteger sus dispositivos USB de futuras infecciones.

Después, bájate Disk Cleaner y ejecútalo según su manual.

Por cierto, pásate por windows update, y actualízalo: Microsoft Update

El FS-FixBagle puedes eliminar el archivo en donde te lo hayas descargado y DelPSGuard puedes desinstalarlo como haces con cualquier otro programa. De todas maneras, si tienes algún problema en ello, puedes utilizar AppRemover: desinstala programas de seguridad completamente.

Como antispyware residente (en memoria) solo debes tener uno instalado y ejecutándose. De lo contrario, si tienes activos más de uno, entre ellos podrían tener conflicto, y en vez de protegerte, más bien sucedería lo contrario.
Por otro lado, puedes tener instalados aquellos programas antispyware/antimalware que tú creas conveniente (pero no de forma residente), para utilizarlos en escaneos semanales o quincenales.

En cuanto al firewall, te destacaría el Comodo o el Zone Alarm.
Aunque ya sabes, que para gustos hay colores. Te dejo unos links, con la opinión de los usuarios al respecto:

Vota por el mejor Antivirus del 2008
¿Cuál es el mejor Anti-Spyware 2008?
Vota por el mejor Firewall del 2008


En tu próximo mensaje, coméntame si todo finalmente está correcto, y podemos dar el tema por solucionado.
Un saludo.

Hola de nuevo!

Bueno, pues ya he pasado el Flash _Disinfector y el Disk Cleaner. Ahora en el Disco duro interno, en ambas particiones tengo la carpeta C:\RECYCLER y D:\RECYCLER, ambas con una sola papelera dentro, de nombre S-1-5-21-583907252-602162358-725345543-1003

En el disco duro externo sigo teniendo dos papeleras en la raíz: J:\Recycled(llamada Recycled) y J:\$RECYCLE.BIN (llamada Papelera de Reciclaje).

De modo que está casi igual, solo que una de las dos papeleras que había dentro de RECYCLER en el disco duro interno ha desaparecido.

He desinfectado e inmunizado todas las memorias USB que tenía a mano, pero falta alguna de mi hermano que no tengo ahora, se puede pasar el Flash_Disinfector en modo normal de windows o es imprescindible que sea en modo seguro?

Gracias otra vez por la ayuda ^_^