Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas, el otro dia aparecio en mi ordenador este programa instalado, o por lo menos habia un menu en inicio con este nombre, elimine todas las claves de registro, la carpeta con ese nombre y el menu en inicio

Mientras tenia esto en mi PC, dejo de funcionarme el NOD32 (Me aparece un aviso que pone Programa WIN32 no valido), no me funciona el ccleaner, no puedo ni instalarlo, ya que en otro post en este foro pone que debo de pasar el ccleaner y luego ewido online

¿Que puedo hacer?

Gracias y enhorabuena por la labor que haceis

Hola

Por favor, sigue estos pasos:


(de ser posible, IMPRIME ESTA HOJA)


Descarga lo siguiente




Apaga RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI

Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.


Ejecuta FS - FIXBAGLE

1. Desactiva temporalmente el Antivirus y/o Antispyware.
2. Descomprime FS-FixBagle.zip en el Escritorio.
3. Abre la Carpeta FS-Fix
4. Ejecute FS-FixBagle.exe
5. Eliga la opción "1", para iniciar la busqueda del Bagle
6. Al termino del Analisis, FS-FixBagle, preguntara si desea reiniciar el ordenador. Acepta,
7. Se genera un reporte, quel se encuentra generalmente en C:\BagleReport.txt.
8. *Nota* Si FS-FixBagle, encuentra el Driver/Rootkit, srosa.sys, sera necesario reiniciar el odenador, por lo que debe permitir que FS-FixBagle, reinicie el ordenador.

Reinicia en modo normal

Pega el reporte creado de FIX BAGLE y de MALWAREBYTE`S



Te dejo saludos, y espero tu respuesta.

Buenas, gracias por la rapidez, pues cuando intento reiniciar en modo seguro no puedo, se me reinicia el ordenador una y otra vez tras seleccionar "modo seguro",
he hecho el metodo 2 del post que me has dejado para problemas, ya que el 3º no puedo instalar Superantispyware y el 1º no lo encuentro en mi windows XP, el 2º lo he hecho y se hace correctamente

¿Que hago?

Intenta hacer correr esos dos programas (fix bagle y malwarebytes) en la forma que puedas y pegas los reportes generados......

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2015
Windows 5.1.2600 Service Pack 3

21/04/2009 16:58:44
mbam-log-2009-04-21 (16-58-44).txt

Tipo de examen : Examen Completo (C:\|E:\|)
Objetos examinados: 98873
Tiempo transcurrido: 25 minute(s), 0 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Ficheros Infectados: 8

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa (Rootkit.Bagle) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\drvsyskit (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mule_st_key (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Documents and Settings\Administrador\Datos de programa\m (Trojan.Agent) -> Delete on reboot.

Ficheros Infectados:
C:\Documents and Settings\Administrador\Datos de programa\drivers\srosa2.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\drivers\winupgro.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe (Trojan.Agent) -> Delete on reboot.

---------------------------------------------------------------------------------------------
Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.66GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Administrador ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:36 Go (Free:26 Go)
E:\ (Local Disk) - NTFS - Total:65 Go (Free:5 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)

Inicio: 15:00:54 Fecha : 21/04/2009


--------------------\\ Procesos infectados




--------------------\\ Archivos Infectados

C:\WINDOWS\system32\ban_list.txt - Eliminado
C:\WINDOWS\system32\mdelk.exe ...Fallo al Eliminar
C:\WINDOWS\system32\wintems.exe ...Fallo al Eliminar
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe ...Fallo al Eliminar
C:\Documents and Settings\Administrador\Datos de programa\M\data.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\M\list.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\M\srvlist.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\drivers\srosa2.sys - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\drivers\downld\1003718.exe - Eliminado

....... (EN ESTA CARPETA ELIMINA MUCHISIMO ARCHIVOS MAS DE NOMBRE SIMILAR A ESTE)

--------------------\\ Carpetas infectadas

C:\Documents and Settings\Administrador\Datos de programa\m\shared - Eliminada
"C:\Documents and Settings\Administrador\Datos de programa\m"...Fallo al Eliminar
C:\WINDOWS\system32\drivers\down - Eliminada
"C:\Documents and Settings\Administrador\Datos de programa\drivers"...Fallo al Eliminar
"C:\Documents and Settings\Administrador\Datos de programa\drivers"...Fallo al Eliminar



--------------------\\ Rogue Software




--------------------\\ Claves Registro


Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SK9OU0S
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SK9OU0S
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sK9Ou0s
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s K9Ou0s
Clave Eliminada - HKEY_CURRENT_USER\Software\bisoft
Clave Eliminada - HKEY_CURRENT_USER\Software\DateTime4
Clave Eliminada - HKEY_CURRENT_USER\Software\FirtR


--------------------\\ Catchme Report

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-21 15:02:50
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\Folders]
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\App_LocalResources\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\App_Data\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\Security\Roles\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\Security\Roles\App_LocalResource s\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSB uild\"=""

...... (QUITO ARCHIVOS DE AQUI PORQUE SON MUCHOS)

"mule_st_key"="C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe"
"german.exe"="C:\WINDOWS\system32\wintems.exe"

scanning hidden files ...

C:\WINDOWS\system32\mdelk.exe 67667 bytes executable
C:\WINDOWS\system32\wintems.exe 67667 bytes executable
C:\Documents and Settings\Administrador\Datos de programa\drivers\downld
C:\Documents and Settings\Administrador\Datos de programa\drivers\wfsintwq.sys 112763 bytes executable
C:\Documents and Settings\Administrador\Datos de programa\drivers\winupgro.exe 856064 bytes executable
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe 99844 bytes executable

scan completed successfully
hidden processes: 0
hidden files: 6


--------------------\\FS-FixBagle - v2.0.0

Bueno.....parece que tenias algo de BAGLE en tu pc no ????

Te pido que vuelvas a realizar todo el proceso nuevamente porque se trata de un virus muy activo......

Te va a llevar tiempo, pero toma conciencia de la infección que te cazaste....

Esta vez inténtalo en MODO SEGURO, y si no puedes, sigue en modo normal....

Espero dos cosas:

1.- Los reportes generados..

2.- Que me comentes como sigue tu pc ahora....


saludos....

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2015
Windows 5.1.2600 Service Pack 3

24/04/2009 15:53:54
mbam-log-2009-04-24 (15-53-54).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|)
Objetos examinados: 107408
Tiempo transcurrido: 30 minute(s), 37 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 3
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 8

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa (Rootkit.Bagle) -> Delete on reboot.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\drvsyskit (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mule_st_key (Rootkit.Bagle) -> Delete on reboot.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\Administrador\Datos de programa\m (Trojan.Agent) -> Delete on reboot.

Ficheros Infectados:
C:\Documents and Settings\Administrador\Datos de programa\drivers\srosa2.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\drivers\winupgro.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe (Trojan.Agent) -> Delete on reboot.

*-************************************************** **

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.66GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Administrador ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:36 Go (Free:25 Go)
D:\ (Local Disk) - NTFS - Total:465 Go (Free:250 Go)
E:\ (Local Disk) - NTFS - Total:65 Go (Free:4 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)

Inicio: 15:59:44 Fecha : 24/04/2009


--------------------\\ Procesos infectados




--------------------\\ Archivos Infectados

C:\WINDOWS\system32\ban_list.txt - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe ...Fallo al Eliminar
C:\Documents and Settings\Administrador\Datos de programa\M\data.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\M\list.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\M\srvlist.oct - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\drivers\srosa2.sys - Eliminado
C:\Documents and Settings\Administrador\Datos de programa\drivers\downld\103375.exe - Eliminado


.... Mas archivos similares solo cambia nombre archivo y es la misma carpeta.....

C:\Documents and Settings\Administrador\Datos de programa\m\shared\.zip - Eliminado

....... Mas archivos de esta carpeta ................



--------------------\\ Carpetas infectadas

C:\Documents and Settings\Administrador\Datos de programa\m\shared - Eliminada
"C:\Documents and Settings\Administrador\Datos de programa\m"...Fallo al Eliminar
"C:\Documents and Settings\Administrador\Datos de programa\drivers"...Fallo al Eliminar
"C:\Documents and Settings\Administrador\Datos de programa\drivers"...Fallo al Eliminar



--------------------\\ Rogue Software




--------------------\\ Claves Registro


Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
Clave Eliminada - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
Clave Eliminada - HKEY_CURRENT_USER\Software\bisoft
Clave Eliminada - HKEY_CURRENT_USER\Software\DateTime4
Clave Eliminada - HKEY_CURRENT_USER\Software\FirtR


--------------------\\ Catchme Report

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-24 16:01:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\Folders]
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\App_LocalResources\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\App_Data\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\Security\Roles\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\Security\Roles\App_LocalResource s\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSB uild\"=""
"c:\Archivos de programa\Internet Explorer\MUI\0409\"=""
"c:\Archivos de programa\Internet Explorer\MUI\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MUI \0409\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MUI \"=""
"c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP .NETWebAdminFiles\Security\App_LocalResources\"=""
"c:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9 a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\"=""
"c:\Archivos de programa\Archivos comunes\Microsoft Shared\DW\"=""
"c:\Archivos de programa\Reference Assemblies\Microsoft\Framework\v3.0\"="1"
"c:\Archivos de programa\Reference Assemblies\Microsoft\Framework\"="1"
"c:\Archivos de programa\Reference Assemblies\Microsoft\"="1"
"c:\Archivos de programa\Reference Assemblies\"="1"
"c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windo ws Communication Foundation\"="1"
"c:\WINDOWS\Microsoft.NET\Framework\v3.0\"="1"
"c:\Archivos de programa\Reference Assemblies\Microsoft\Framework\v3.0\RedistList\"=" "
"c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windo ws Communication Foundation\MUI\0409\"=""
"c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windo ws Communication Foundation\MUI\"=""
"c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\" =""
"c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\e n-us\"=""
"c:\WINDOWS\system32\en-us\"=""
"c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\XamlV iewer\"=""
"c:\WINDOWS\system32\XPSViewer\"=""
"c:\WINDOWS\system32\XPSViewer\en-us\"=""
"c:\Archivos de programa\MSBuild\Microsoft\Windows Workflow Foundation\v3.0\"=""

........Quito muchisimas carpetas mas para acortar el post...............

scanning hidden files ...

C:\Documents and Settings\Administrador\Datos de programa\drivers\downld
C:\Documents and Settings\Administrador\Datos de programa\drivers\wfsintwq.sys 112763 bytes executable
C:\Documents and Settings\Administrador\Datos de programa\drivers\winupgro.exe 856064 bytes executable
C:\Documents and Settings\Administrador\Datos de programa\m\flec006.exe 99844 bytes executable

scan completed successfully
hidden processes: 0
hidden files: 4


Creo que los 2 logs son muy parecidos he vuelto a ejecutar el Malwarebytes y siguen saliendo los mismos 13 archivos infectados
Sigo sin poder entrar en modo seguro
No me funciona el sonido, ni el nod32, ni instalar ccleaner...

¿Que mas hago?

- Descarga la herramienta COMBO FIX y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Me sale un aviso diciendo que combofix no es una aplicacion win32 valida

Realiza lo siguiente:

- Descarga la herramienta COMBO FIX

• Dadas tus infecciones debes de cambiar el nombre antes de guardarlo en tu escritorio por Combo-Fix

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Da doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

saludos