Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos, Mi problema es que me bajé un virus de esta página: EDITADO tenia forma de programa porque daba la opción de instalar, yo
le dí a instalar y segudo de eso seme reinició el ordenador solo y cada vez que va a entrar en windows se autoreinicia el sólo sin llegar a poder iniciar sesión. He probado a entrar en modo a prueba de fallos y el modo que funcionó la última vez pero se reinicia igual. La única esperanza que me queda es que yo tengo cuatro particiones y dos sistemas operativos, por lo que tengo acceso a la partición del sistema operativo infectado desde este otro.

He analizado con el antivirus (AVG 8.5 que me ha ido de maravilla) la partición infectada y me detectó dos archivos infectados dentro de la carpeta WINDOWS\temp\7zS18 se llamaban serial.exe y patch.exe. Los eliminé y eliminé la carpeta esa también. Pero no he solucionado nada porque me reinicia igual. Ahora vuelvo a pasar el antivirus por la parte infectada y no detecta nada más....

¿Por eso alguien sabe que puedo hacer? Cuento con la ventaja de acceder desde el otro sistema operativo a la partición infectada.

Gracias por vuestro tiempo y ayuda de antemano.

Hola karlytos89


Descarga lo siguiente:

º CCLEANER. Lo instalas según Su Manual

º MALWAREBYTE´S. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN

º ComboFix.exe y guárdalo en el escritorio.



Ejecuta ComboFix.exe

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

En tu próxima respuesta, debes poner lo siguiente:

º El reporte de malwarebyte´s, que se encuentra en su pestaña REGISTROS
º El reporte de ComboFix
º Como funciona tu pc ahora


Saludos

Hola ya lo he hecho, estos son los registros:

- reporte de malwarebyte's:
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3094
Windows 6.0.6000

03/11/2009 22:44:45
mbam-log-2009-11-03 (22-44-45).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|G:\|)
Objetos examinados: 137999
Tiempo transcurrido: 1 hour(s), 19 minute(s), 40 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Interface\{6c51f7e9-8542-4f25-a30f-2060157752e1} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9d573d0e-663c-435f-bf31-2c4497373c41} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b1e68d42-02c4-465b-8368-5ed9b732e22d} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{90a52f08-64ac-4dc6-9d7d-4516670275d3} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{90a52f08-64ac-4dc6-9d7d-4516670275d3} (Trojan.Downloader) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Program Files\ALCATech\BPM-Studio Profi\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.



-registro combofix:

ComboFix 09-11-03.01 - Carlitos 03/11/2009 23:03.1.2 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6000.0.1252.34.3082.18.2047.1211 [GMT 1:00]
Running from: f:\limpieza virus xp\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-51003140-4199384537-3980697693-500
c:\program files\msn messenger\msngserv.exe
c:\recycler\S-1-5-21-842925246-507921405-839522115-500
D:\InfoSat.txt

.
((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.

2009-11-03 22:10 . 2009-11-03 22:11 -------- d-----w- c:\users\Carlitos\AppData\Local\temp
2009-11-03 20:22 . 2009-11-03 20:22 -------- d-----w- c:\users\Carlitos\AppData\Roaming\Malwarebytes
2009-11-03 20:22 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-03 20:22 . 2009-11-03 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-03 20:22 . 2009-11-03 20:22 -------- d-----w- c:\programdata\Malwarebytes
2009-11-03 20:22 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-03 20:05 . 2009-11-03 20:05 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-03 22:10 . 2008-05-04 21:42 -------- d-----w- c:\program files\MSN Messenger
2009-11-03 21:53 . 2006-11-02 16:00 700356 ----a-w- c:\windows\system32\perfh00A.dat
2009-11-03 21:53 . 2006-11-02 16:00 128248 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-31 13:17 . 2008-08-28 12:04 -------- d-----w- c:\programdata\avg8
2009-10-31 13:16 . 2008-08-28 12:04 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-10-31 13:16 . 2008-08-28 12:04 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-10-31 13:16 . 2007-10-12 00:06 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2006-11-02 1196032]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"E07EXLRD_19679214"="c:\enciclopedias\Microsof t Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" [2006-06-13 351000]
"DAEMON Tools"="f:\archivos de programa\daemon tools\daemon.exe" [2007-04-03 165784]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-10-09 1006264]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"RemoteControl"="c:\video\PowerDVD\PDVDServ.ex e" [2006-12-06 69216]
"LanguageShortcut"="c:\video\PowerDVD\Language\Lan guage.exe" [2006-12-05 54832]
"Adobe Version Cue CS2"="c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-14 57344]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-05-10 4468736]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Inicio r*pido de Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1034-4700-7760-100000000002}\SC_Acrobat.exe [2007-10-10 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dl l

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux5"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R0 DiMaint;Controlador para mantenimiento de Eicon;c:\windows\System32\drivers\disdn\dimaint.sy s [02/11/2006 11:25 433664]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [28/08/2008 13:04 335240]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [28/08/2008 13:04 297752]
R2 DiCapi;Controlador Eicon CAPI 2.0;c:\windows\System32\drivers\disdn\dicapi.sys [02/11/2006 11:25 258560]
R3 AVerBDA3x;AVerMedia SAA713x BDA Service;c:\windows\System32\drivers\AVerBDA3x.sys [12/10/2007 10:29 1176192]
R3 VST_DPV;VST_DPV;c:\windows\System32\drivers\VSTDPV 3.SYS [02/11/2006 11:25 987648]
R3 VSTHWBS2;VSTHWBS2;c:\windows\System32\drivers\VSTB S23.SYS [02/11/2006 11:25 251904]
S0 AFS;AFS;c:\windows\System32\drivers\AFS.SYS [08/04/2008 22:28 77004]
S0 OemBiosDevice;Royalty OEM BIOS Extension;c:\windows\System32\drivers\royal.sys [09/10/2007 9:51 240128]
S3 DiCowanSrv;Controlador Eicon orientado a conexión para todas las tarjetas Diva Server PnP;c:\windows\System32\drivers\disdn\dicowans.sys [02/11/2006 11:25 493568]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Supplementary Scan -------
.
uStart Page = about-blank.in
uInternet Settings,ProxyOverride = *.local
IE: Convertir a PDF de Adobe - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir a PDF existente - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo a PDF existente - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo en archivo PDF de Adobe - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a archivo PDF existente - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir selección a PDF de Adobe - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir vínculos seleccionados a PDF de Adobe - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir vínculos seleccionados a PDF existente - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-zzzHPSETUP - G:\Setup.exe
AddRemove-Alcatech BPM Studio Professional v4.9.1 - c:\progra~1\ALCATech\BPM-ST~1\UNWISE.EXE



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 23:11
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8546E1E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8546e1e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

************************************************** ************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\{ 95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\video\PowerDVD\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-942697793-2357444400-4013284069-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fa,06,f6,a6,c0,c4,e5,94,7f,a6,33,f8,c3,fa ,54,96,28,04,0b,99,b9,13,7f,
fc,ae,ae,ec,01,e5,30,4a,67,87,f8,7a,60,ef,53,5b,27 ,2e,f2,bc,3a,97,57,49,90,\
"??"=hex:62,97,2d,7c,49,e5,7a,2b,b7,6b,b9,3b,64,0f ,09,de

[HKEY_USERS\S-1-5-21-942697793-2357444400-4013284069-1000\Software\SecuROM\License information*]
"datasecu"=hex:ed,a6,12,b1,6a,92,c1,1e,90,51,2e,8a ,2d,a0,d9,57,37,ee,26,33,77,
ae,4f,1f,35,6d,e6,b0,6a,c2,7e,bb,f7,78,c7,48,ee,96 ,2c,c6,a8,a8,26,97,a8,a6,\
"rkeysecu"=hex:b9,64,08,e2,f6,00,81,d3,49,d7,ce,af ,ab,0c,5d,bb

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Completion time: 2009-11-03 23:12
ComboFix-quarantined-files.txt 2009-11-03 22:12

Pre-Run: 7.537.729.536 bytes libres
Post-Run: 7.368.114.176 bytes libres



- Mi pc sigue igual, los 6 archivos infectados que encontró el segundo programa que me dijistis los puso en cuarentena pero sigue sin entrarme en el sistema operativo infectado.

Gracias por la ayuda de nuevo.

Hola de nuevo

Desinstala CF de esta manera:

• Ve a Inicio > Ejecutar
• Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  o
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Utiliza AVIRA RESCUE DISK tal como lo indica su manual...para intentar arrancar desde este CD ese sistema infectado y escanearno.

Nos comentas.

Despues de escribir este mensaje la siguiente vez que encendí el ordenador no me cargaba windows (ninguno de los dos) por lo que me vi obligado a formatear y reinstalar el sistema operativo asique ya está solucionado el problema. De todos modos muchas gracias por la ayuda

Por cualquier otro problema, no dudes en volver a postear. Te dejo saludos.

Tema Solucionado

PD: si deseas REABRIR ESTE TEMA, presiona y tu consulta serà atendida.