Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,
El otro dia SUPERantispyware me detecto: Trojan.Agent/Gen-<NAME> C:\WINDOWS\WINHELP.EXE.
Lo puse en cuarentena. A partir de ahi, el ordenador se reinicia nada mas llegar al escritorio.
Lo puse en modo seguro y entre en la cuarentena de Superantispyware para restaurar el archivo para que no se reinicie y rapidamente pasarle el antivirus para que lo limpie (En modo seguro mi antivirus instalado no me funciona, porque tiene que conectarse con internet, y aunque es modo seguro con funciones de red, no se conecta.) Me dice que lo restablece (aunque al encender el ordenador sigue haciendo igual) pero sigue estando en cuarentena, y que si lo borro de la cuarentena ya no podre restablecerlo mas.

Le he pasado Malwarebytes' Anti-Malware, Spybot - Search & Destroy pero no dectecta nada.

Un saludo.

Hola marianosec33:

En principio, el archivo que comentas no tiene porqué afectar al inicio de tu windows; en todo caso, puedes tener problemas para abrir ficheros relacionados con la ayuda: winhelp.exe .

Por otro lado, existe un troyano bastante destructivo, que entre otros archivos críticos del sistema, sobreescribe el archivo que comentas: TROJ/IconLib.A. Deja inutilizable a Windows en segundos.

Por tanto, en principio yo no restauraría el archivo que te ha identificado SUPERantispyware, porque puede estar infectado. Vamos a comprobar primero, que tu sistema está libre de malwares. Realiza lo siguiente:

1.- Intenta utilizar la siguiente herramienta: Dr.Web Live CD (está al final de la página).

Para usarlo debes grabar un CD con la imagen ISO y arrancarlo antes de iniciar Windows, así podrá escanear tu disco duro y eliminar lo que encuentre. Pasos para utilizarlo:

1. Te descargas Dr.Web Live CD (solo tienes que descargarte el archivo iso: minDrWebLiveCD-5.0.0.iso).
2. Después de hacer la descarga de la imagen .ISO deberás grabarlo en un CD o DVD para iniciarlo como un Live CD(te dejo un link explicativo de esto último).
3. Introduces el Cd/dvd en la disquetera y dejas que tu sistema arranque desde el CD/DVD. Dr.Web Live CD analizará tu ordenador sin arrancar Windows.

2.- Ejecuta en "Modo Seguro" MalwareByte's Antimalware (actualízalo previamente).

a) Marcar la opción "Realizar un Examen Completo".
b) Al finalizar el analisis hacer clic en "Quitar lo Seleccionado" para proceder a la desinfección.
c) Reinicia.
d) Al finalizar la desinfección, busca el reporte en la pestaña "Registros"; cópialo y pégalo en el tema.

3.- En modo seguro con funciones de red, intenta realizar un escaner online con Kaspersky Online Scanner (Versión Inglesa), o bien con Panda ActiveScan 2.0 (su manual).

En tu próximo mensaje me dejas los reportes del malwarebytes' y del kaspersky online scaner (o en su caso del panda activescan 2.0), y coméntame que tal fue el proceso con el Dr.Web Live CD. También dime como sigue funcionando tu máquina.
Además, dime si tienes el disco original de windows porque seguramente necesitemos realizar una reparación a través del mismo.

Saludos .

Hola,
Muchas gracias por tu rapidez, y perdon por mi tardanza.(de verdad que no he podido antes)
Empiezo:
No he restaurado el archivo infectado.
Use Dr.Web Live CD, (me tardo 8 horas, la primera vez) y me detecto tres posibles archivos infectados en el antivirus que tengo (antivirus legal que me da mi proveedor de servicios (Telefonica) y tambien esto: c:/minint/system32/preload.zip.
Cuando le dije que los "curara" y lo hizo en los tres archivos del antivirus, no me quedo muy claro que los curara, y en c:/minint/syst.... tardo bastante y daba mensajes como archivos infectados (bastantes) y que eran incurables. No quise eleminarlos por si hacia algo mal. Tambien daba como infectado algo como: restore...
Pase MalwareByte's Antimalware y no detecto nada de nada.
Y en Kaspersky Online Scanner (Versión Inglesa), detecto solo los tres archivos infectados del antivirus.
Entonces, puse otra vez el Dr.Web Live CD, le di a otra opcion de escaneo (salio solo la pantalla negra y la letras en blanco, e iba muy rapido) y me tardo 16 horas, y me salio que habia un archivo infectado y cuatro herramientas de hacker pero no me dijo cuales, ni hizo nada para eleminarlas/curarlas.
Entoces entre en Infospyware para bajarme antivirus para ver si detectaba algo, pero no me dejaba instalarlos porque decia que el adminitrador habia establecido ciertos privilegios. Entre en modo seguro con el usuario administrador y nada. Hasta que me permitio instalar el Avast!. Me detecto los mismos tres archivos y los elimine. Ya no aparecen mas. Pero el pc sigue igual. Reiniciandose.
No tengo los disco. Mi Windows XP es original, venia de fabrica con el ordenador (Packard Bell) y segun tengo entendido el Windows venia dentro del ordenador. Si lo pasaba a cds (10 en total) se borraban del ord. (no quise pasarlos porque si se perdia algun cd o se estropeaba, la fastidiaba) Resulto que me cambiaron la placa base, y no se si ahi estaba el sistema operativo o en la placa base hay algo que es imprescindible para restaurar o formatear. Asi que no puedo formatear.

Muchas gracias, otra vez.
Un saludo.

Hola marianosec33:

Vamos a intentar lo siguiente:

1.- Descargar y/o actualizar estas herramientas, pero no las ejecute aun.:

DrWebCureIt.
SUPERAntispyware.
CCleaner.

2.- Reinicia en "Modo Seguro" (si no puedes iniciar en Modo Seguro, omites este paso).


3.- Ejecuta de a una estas herramientas de la siguiente manera:

a) Dr.Web CureIt. Primero en su opción de escaneo rápido, y después un escaneo completo. Cura o elimina (lo incurable) todo lo que encuentre, de acuerdo a su manual.

b) SUPERAntispyware: Realizas un "Análisis completo", y al finalizar el analisis, pulsas "Siguiente" para enviar las infecciones a la Cuarentena.

4.- Utilizar CCleaner, usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

5.- Reinicia y entra en modo normal.

6.- Descarga el Eset Smart Installer:

• Ejecutar y marcar, las casillas Eliminar las amenazas detectadas y analizar archivos.
• Dar en Configuración adicional, marcar las casillas de Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnoligía Anti-Stealth.
• Dar en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.
• Acabado el scan dar en Finalizar El reporte se puede localizar en C:\Archivos de programa\ESET\ESET Online Scanner\log. Me dejas este reporter en tu próxima contestación.

Reinicia y comenta que tal va todo, junto a los reportes generados por Dr.Web CureIt, SUPERAntispyware y Eset Smart Installer.

Un saludo.

Hola,
Parece ser que se ha solucionado. BIENNNNNN!!!!

Te cuento:

Pase DrWebCureIt y me detecto:
TFWAH.dll -- C:\Archivos de programa\ThreatFire -- probablemente DLOADER.Trojan

A0105326.exe -- C:\System Volume Information\_restore{F01C24CB-3F0E-4C55-A9D9-36FF1A522CF4}\RP122 -- probablemente BACKDOOR.Trojan

A0125375.exe -- C:\System Volume Information\_restore{F01C24CB-3F0E-4C55-A9D9-36FF1A522CF4}\RP122 -- probablemente DLOADER.Trojan

A0125376.exe -- C:\System Volume Information\_restore{F01C24CB-3F0E-4C55-A9D9-36FF1A522CF4}\RP122 -- probablemente DLOADER.Trojan

Los cure (me dijo incurables, y los elimino).

Pase SUPERAntispyware y no me detecto nada. Pase CCleaner.

Reinicie y.... ya no se reinicio solo mas. Se cargaron todos los programas y va bien.

Hice la segunda parte (Eset Smart Installer) y me detecto:


C:\System Volume Information\_restore{F01C24CB-3F0E-4C55-A9D9-36FF1A522CF4}\RP122\A0105318.exe probablemente una variante de Win32/Spy.Agent Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena

C:\VundoFix Backups\ljtfilcv.ini.bad Win32/Adware.Virtumonde.NEO aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena

Se habra eliminado todo?.
Dejar, me deja como antes.

Muchas Gracias.
Un Saludo.

Hola de nuevo:

Supongo que si en tu pc, ahora está funcionando todo correcto, se habrán eliminado todas las infecciones. Para estar más seguros, realiza un escaner online con Kaspersky Online Scanner (Versión Inglesa), o bien con Panda ActiveScan 2.0 (su manual), y me dejas su reporte en caso de encontrar infección. Si todo resulta limpio, lo comentas y cerramos el tema.

Saludos.

Hola RiaGuel,

He pasado Kaspersky Online Scanner (Versión Inglesa), y no ha encontrado nada:


Saturday, October 31, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Saturday, October 31, 2009 03:51:00
Records in database: 3107263
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Scan statistics
Objects scanned 246270
Threats found 0
Infected objects found 0
Suspicious objects found 0
Scan duration 04:32:39

No threats found. Scanned area is clean.
Selected area has been scanned.


Asi que parece ser que todo esta bien. Quiero darte otra vez las gracias y hasta otra.
Un saludo.

Me alegro de que todo funcione bien en tu máquina de nuevo
Si necesitas reabrir el tema, pulsa sobre el icono o envía un mensaje privado a cualquier moderador (miembros staff) explicando las razones de esa reapertura.
Un saludo.

TEMA SOLUCIONADO.