Imposible eliminar virus Win32:Rootkit-gen [Rtk] (Solucionado)

**asanisimasa** · 28/02/09, 19:21:11

Hola a todos!

Necesito vuestra ayuda, consejo, instrucciones, cualquier información que me podais facilitar... Y es que he intentado eliminar lo que parece ser un virus del portátil y me es imposible. La verdad es que soy bastante torpe con estas cosas, pero intentaré explicarme de la mejor manera posible:

Al anunciarme AVAST el problema he reiniciado el ordenador tal y como me lo pedia el antivirus para que intentase eliminarlo antes de arrancar. En el análisis me decia que los eliminaba pero después me los volvia a anunciar.
He pasado el CCcleaner, aunque aquí no sé exactamente si deberia hacer alguna acción específica o qué.
He pasado ell Search and Destroy (ha detectado un error y lo he borrado sin más, no puedo deciros que era porque no lo recuerdo, lo siento

)
He vuelto a pasar el AVAST. Ha tardado una eternidad y ha vuelto a encontrar el virus. Lo he eliminado y hace un momento me ha vuelto a advertir.

La verdad es que no sé como hacer para copiar y enviaros si hiciera falta la información que me ofrece después del análisis, ni siquiera eso, uf! Lo que me digáis eso haré.
Esto es lo último que me muestra la alarma de AVAST aunque creo que el ordenador tiene más que eso:

Nombre de archivo: C:\WINDOWS\system32\drivers\klif.sys
Nombre del malware:Win32:Rootkit-gen [Rtk]
Tipo de software perjudicial:Rootkit (Encubridor)
Versión de VPS: 090228-0, 28/02/2009

Como en alguna parte me ha parecido que relacionaban este virus con el antivirus karspersky quizás deberia tambien deciros que hasta donde yo recuerdo nunca he utilizado ese antivirus.

Gracias por vuestra labor!

Perdón, vuelvo a editar el post porque olvidé deciros que tambien intenté pasar Dr. Web cure-it y no me dejaba.
Creo que es todo.

**Suerte** · 28/02/09, 19:28:57

hola, sigue con estos pasos que te indico

[para que te sea mas comodo puedes imprimir esta hoja]
[si algun paso no puedes realizarlo te lo saltas y sigues con el siguiente]

apaga el Tea Timer Spybot Search & Destroy

paso--descarga,instala pero no ejecutes aun estas herramientas:

Dr. Web Cure-IT

Malwarebyte's Anti-Malware

CCLEANER

paso--apaga restaurar sistema luego inicias tu pc en modo seguro

paso-- las ejecutas de una en una y en este orden:

Dr. Web Cure-IT
la herramienta primero realiza un chequeo express
luego realizas un scan completo y eliminas lo que encuentre

Malwarebyte's Anti-Malware
realizas un scan completo y al finalizar del scan dar ala opcion
quitar lo seleccionado para que tenga efecto la desinfeccion

CCLEANER
lo ejecutas en sus dos opciones limpiador y registro
haciendo copia del registro cuando te lo pida

paso-- reinicias a modo normal vuelves a activar restaurar sistema

paso-- realizas un scan con un antivirus online lo realizas con kaspersky o con Panda ActiveScan 2.0

en tu proximo mensaje pones el reporte completo del antivirus online y de Malwarebyte's Anti-Malware

saludos

espero tu respuesta y comentarios de como sigue tu pc

**asanisimasa** · 02/03/09, 05:29:17

¡Muy buenas!
Antes de nada, muchísmas gracias por la respuesta rapidísima que recibí. Debo decir que todavia estoy en ello. Está tomando bastante tiempo el asunto... Ahora bien, si se soluciona valdrá la pena. Aunque me temo que no está yendo demasiado bien. Este mensaje que estoy escribiendo me está costando, y es que el teclado no me obedece... Por eso me temo lo peor

Ahora mismo estoy pasando el kaspersky. Dudas que tengo:

-El kaspersky me ha dicho que apague el avast y lo he hecho pero me preocupa...
-Más cosas. Cuando pasé el dr. web, el malwarebyte´s, y el CCleaner lo hice en función modo seguro pero sin funciones de red y esto no sé si fué un error.
-El navegador que uso (mozilla) se me ha cerrado unas tres veces de repente mientras intento pasar el kaspersky.
-Y por último, lo que comentaba antes, me está costando un poco escribir, fijaos en lo que pasa si no pongo atencinó, uf, que desastre...

Nada más, en cuanto acabe os envio el reporte. Snif!

Saludos!!

**Suerte** · 02/03/09, 06:44:53

El kaspersky me ha dicho que apague el avast y lo he hecho pero me preocupa...

esto es que lo veo muy raro, ya que para hacer un scan online no te puede pedir eso, estas utilizando estos enlaces para hacer el scan online?¿?¿

Kaspersky Antivirus Online en ingles

Kaspersky Antivirus Online en español

-Más cosas. Cuando pasé el dr. web, el malwarebyte´s, y el CCleaner lo hice en función modo seguro pero sin funciones de red y esto no sé si fué un error.

lo haces bien en modo seguro, ahora que si entras a modo seguro con funciones de red tambienvale ya que si desde ahy tienes conexion a internet, quizas te de menos problemas para hacer el scan online y puede ser que todo te funcione mejor

-El navegador que uso (mozilla) se me ha cerrado unas tres veces de repente mientras intento pasar el kaspersky

si no puedes realizar el scan online me lo dices e intentamos de otra manera , para como ya te he dicho, intentas tambien en modo seguro confunciones de red haber si desde hay te cuesta menos ok

Y por último, lo que comentaba antes, me está costando un poco escribir, fijaos en lo que pasa si no pongo atencinó, uf, que desastre...

esto que te pasa es casi seguro que es debido a la infeccion

bueno ya me comentas, si puedes hacer el scan online, haber que mas se puede hacer ok

**asanisimasa** · 02/03/09, 07:05:51

Pues si que utilicé el link de la pagina y me pedia desactivar mi antivirus. Si es peligroso creo que es demasiado tarde de todas maneras. Y por lo que dices lo demas lo he hecho segun tus instrucciones.
Por ahora el kaspersky sigue funcionando...
Te tendre informad@
Millones de gracias.

**Suerte** · 02/03/09, 07:14:23

Originalmente publicado por asanisimasa

Pues si que utilicé el link de la pagina y me pedia desactivar mi antivirus. Si es peligroso creo que es demasiado tarde de todas maneras. Y por lo que dices lo demas lo he hecho segun tus instrucciones.
Por ahora el kaspersky sigue funcionando...
Te tendre informad@
Millones de gracias.

vaya si que es raro pero bueno, cuando acabes el scan online 1º pones el reporte y 2º vuelve a poner tu antivirus ok, aaaaa y si ahora no tienes antivirus no navegues por sitios que tu veas que no son de confianza, por el forospyware si que es seguro

venga, salu2

**asanisimasa** · 02/03/09, 08:50:44

Bueno, esto ya está. Ahí van los informes:

Resultados de Dr. Web Cure IT

qxty9be.cmd h:\ Trojan.PWS.Wsgame.4983 Eliminado

autorun.inf C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Eliminado

nmdfgds0.dll C:\WINDOWS\system32 Trojan.PWS.Wsgame.10454 Eliminado

olhrwef.exe C:\WINDOWS\system32 Trojan.PWS.Wsgame.4983 Eliminado

Y ahora Malwarebytes:

Malwarebytes' Anti-Malware 1.32
Versión de la Base de Datos: 1616
Windows 5.1.2600 Service Pack 2

01/03/2009 17:22:05
mbam-log-2009-03-01 (17-22-05).txt

Tipo de examen : Examen Completo (C:\|D:\|F:\|H:\|)
Objetos examinados: 110568
Tiempo transcurrido: 3 hour(s), 30 minute(s), 25 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 2
Ficheros Infectados: 10

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\torrentmanager.webmanager (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{5a445f80-dab5-4cd9-8a05-cd09ac145aa2} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a7f9e9f8-7a20-4e56-9507-515a0922bad3} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\torrentmanager.webmanager.1 (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{9998f676-23e3-4380-84f0-739c19cbd312} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\TorrentManager.DLL (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\BitDownload (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Archivos de programa\BitDownload (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\Skins (Trojan.Lop) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\BitDownload\TorrentManager.dll (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\BitDownload.exe (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\session.store (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\settings.ini (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\settings.stp (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\SkinCrafterDll.dll (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\state.dht (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\unins000.dat (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\unins000.exe (Trojan.Lop) -> Quarantined and deleted successfully.
C:\Archivos de programa\BitDownload\Skins\Stylish.skf (Trojan.Lop) -> Quarantined and deleted successfully.

En cuanto a los resultados de kaspersky parece que ha salido limpio así que no tengo nada que aportar. Y de la copia del registro de CCleaner debo aportar algo? Si es así comentadme cómo porque la copia la he visto por ahí pero no parece aconsejable abrirla.

Otra cosa es que si no recuerdo mal Dr. Web encontró algo sospechoso y me preguntó si lo movia o no. Le dije que sí pero ahora no sé si debería hacer algo más con él ni donde está

Pues nada más, espero vuestro veredicto y cualquier consejo para el futuro será bienvenido. Quería comentaros tambien que descargo torrents y no sé si es demasiado arriesgado, quizás incluso el problema venga de ahí, ya que no entiendo que teniendo el portátil protegido con avast y spybot me haya encontrado con tantas infecciones. En fin, como soy bastante torpe lo dejo en manos de la suerte

Muchísimas gracias, seguiré pendiente.

**Suerte** · 02/03/09, 08:59:44

Hola que bien parece que todo se soluciono

bueno lo de ccleaner no hace falta que me pongas ninguna copia eso es solo por seguridad de tu pc lo tienes ahy un tiempo y si todo te va bien pues lo eliminas te recomiendo que devez encuando lo utilices

sobre el drweb lo que veo en su reporte solo elimino infecciones, esta bien hizo su trabajo

sobre que descargas archivos antes de ejecutarlos lo mejor es que los analices con tu antivirus y si quieres en el enlace que te pase de antivirus online al final ahy uno que es virustotal con ese puedes analizar los archivos que descargues es rapido y facil de utilizar ok

bueno tu me dices si damos el tema por solucionado

**asanisimasa** · 02/03/09, 09:12:08

Ay, espero que sí, que se haya solucionado.
Tomo nota del consejo de virustotal y os agradezco en el alma, sobretodo a tí Suerte.

Saludos y tema solucionado (espero

)

**Suerte** · 02/03/09, 09:21:55

Si de seguro que ya esta todo en orden, asin que Dare el tema como solucionado pero si quisieras reabrir el tema solo debes pulsar en este icono

que se encuentra arriba a la derecha del post, y desde hay explicas a los moderadores por que deseas reabrir el tema

salu2

y gracias a ti por confiar en nosotros

Imposible eliminar virus Win32:Rootkit-gen [Rtk] (Solucionado)

Herramientas

Imposible eliminar virus Win32:Rootkit-gen [Rtk] (Solucionado)

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]

Re: Imposible eliminar virus Win32:Rootkit-gen [Rtk]