Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, como bien dice el titulo del post, el nod32 me dice cada 2 x 3 que El sector MBR del disco físico 1. - Win32/Mebroot.K Troyano. - no es posible su desinfección.

He visto q hay varios posts sobre este troyano, pero al no aclararme dado q cada post pone algo disitnto y normalmente pedis los logs de ciertos programas, he decidido postear para obtener una ayuda personalizada, espero no les suponga ninguna molestia.

Decir q tengo el superantispyware y lo he ejecutado varias veces en modo prueba de errores, y el nod 32, (este no se por que no me deja pasarlo en modo prueba de errores :S).

Tambien decir q tengo un discoduro externo desde el cual creo q siempre introduzco el troyano en mi pc y en algun otro pc ( x ejemplo el de mi novia a la q fui a instalarle un juego desde el disco duro y tb le salio el mismo mensaje que a mi del metbrook.k)

Saludos y gracias de antemano.

Hola braddock, bienvenido al foro.

Dame unos minutos para organizar la respuesta a tu problema.

El procedimiento para erradicar esta infección consta de dos fases.

FASE 1: Detener la propagación de la infección hacia otros equipos y que la misma se regenere en el tuyo eliminando los archivos infectados del equipo y del disco duro externo.

FASE 2: Reparar el sector de arranque que es donde esta alojado el Mebroot.


-----------------------------------


FASE 1.

Por favor realiza los siguientes pasos en modo normal:

Paso 1
Descargue, instale y/o actualice los siguientes programas (pero no los ejecute aun).

• Flash_Disinfector.exe (al final del post)
  
• Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
  NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
  
  
• ComboFix.exe y guárdala en el escritorio.
  
  
• CCleaner

Paso 2- Ejecutar Flash_Disinfector.exe en el PC y luego Colocar el Pendrive o disco duro externo en el puerto USB y ejecutarlo nuevamente. (Deja el dispositivo externo conactado hasta finalizar la desinfección)

Paso 3
Ejecuta estos programas (de a uno).

• Malwarebytes' Anti-Malware

• Realiza un escaneo completo del PC y elimina las infecciones que este detecte como lo indica su Manual.

• Usa el CCleaner para limpiar el sistema.

• Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
• Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 4

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo combofix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
• Pega el reporte de ComboFix.txt en este mismo mensaje junto al reporte del Malwarebytes Antimalware.

Reinicia y nos dejas los reportes de Malwarebytes y Combofix para analizarlos.

Hola de nuevo y gracias por la rapida respuesta, aqui te adjunto los logs de ambos programas :

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3111
Windows 5.1.2600 Service Pack 3

06/11/2009 17:54:39
mbam-log-2009-11-06 (17-54-39).txt

Tipo de examen : Examen Completo (C:\|G:\|)
Objetos examinados: 147907
Tiempo transcurrido: 20 minute(s), 16 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Combofix:

ComboFix 09-11-05.05 - Administrador 06/11/2009 18:04.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2047.1559 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe

.
((((((((((((((((((((((((( Files Created from 2009-10-06 to 2009-11-06 )))))))))))))))))))))))))))))))
.

2009-11-06 16:29 . 2009-11-06 16:29 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2009-11-06 16:29 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-06 16:29 . 2009-11-06 16:29 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-11-06 16:29 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-06 16:29 . 2009-11-06 16:29 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-11-06 14:31 . 2009-11-06 14:33 -------- d-----w- c:\archivos de programa\Google
2009-11-04 13:06 . 2009-11-04 14:38 -------- d-----w- c:\archivos de programa\Garena
2009-11-03 18:23 . 2009-11-03 18:23 -------- d-----w- c:\windows\D56B0E274A3E46C9B5C1D93D580C099C.TMP
2009-11-03 18:09 . 2009-11-03 18:09 -------- d-----w- c:\archivos de programa\2K Games
2009-11-03 18:09 . 2009-11-03 18:23 -------- d-----w- C:\BDS
2009-11-03 00:01 . 2009-11-03 00:01 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\runic games
2009-11-02 23:58 . 2009-11-02 23:58 -------- d-----w- c:\archivos de programa\Runic Games
2009-11-01 23:56 . 2009-11-01 23:56 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Apple Computer
2009-11-01 23:56 . 2009-11-01 23:56 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2009-11-01 23:56 . 2009-11-01 23:56 -------- d-----w- c:\archivos de programa\Apple Software Update
2009-11-01 23:56 . 2009-11-01 23:56 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Apple
2009-11-01 23:51 . 2009-11-01 23:57 -------- d-----w- c:\archivos de programa\QuickTime
2009-11-01 18:37 . 2009-11-01 18:37 1962544 ----a-w- c:\documents and settings\All Users\Datos de programa\NOS\Adobe_Downloads\install_flash_player_ ax.exe
2009-11-01 18:37 . 2009-11-02 09:39 -------- d-----w- c:\documents and settings\All Users\Datos de programa\NOS
2009-10-30 00:37 . 2009-10-30 00:37 1024 ----a-w- c:\documents and settings\All Users\Datos de programa\BVRP Software\Motorola Phone Tools\faxres.cmd
2009-10-30 00:27 . 2009-10-30 00:27 -------- d-----w- c:\archivos de programa\Xilisoft
2009-10-30 00:24 . 2009-10-30 00:25 -------- d-----w- c:\archivos de programa\Avanquest update
2009-10-30 00:24 . 2008-04-13 21:15 26112 ----a-w- c:\windows\system32\drivers\usbser.sys
2009-10-30 00:24 . 2009-10-30 00:26 5936 ----a-w- c:\documents and settings\Administrador\mqdmwhnt.sys
2009-10-30 00:24 . 2009-10-30 00:26 79328 ----a-w- c:\documents and settings\Administrador\mqdmserd.sys
2009-10-30 00:24 . 2009-10-30 00:26 9232 ----a-w- c:\documents and settings\Administrador\mqdmmdfl.sys
2009-10-30 00:24 . 2009-10-30 00:26 92064 ----a-w- c:\documents and settings\Administrador\mqdmmdm.sys
2009-10-30 00:24 . 2009-10-30 00:26 6208 ----a-w- c:\documents and settings\Administrador\mqdmcmnt.sys
2009-10-30 00:24 . 2009-10-30 00:26 4048 ----a-w- c:\documents and settings\Administrador\mqdmcr.sys
2009-10-30 00:24 . 2009-10-30 00:26 66656 ----a-w- c:\documents and settings\Administrador\mqdmbus.sys
2009-10-30 00:24 . 2009-10-30 00:26 25600 ----a-w- c:\documents and settings\Administrador\usbsermptxp.sys
2009-10-30 00:24 . 2009-10-30 00:26 22768 ----a-w- c:\documents and settings\Administrador\usbsermpt.sys
2009-10-30 00:23 . 2009-10-30 00:32 -------- d-----w- c:\documents and settings\All Users\Datos de programa\BVRP Software
2009-10-30 00:23 . 2009-10-30 00:26 -------- d-----w- c:\archivos de programa\Motorola Phone Tools
2009-10-17 13:01 . 2009-10-17 13:01 -------- d-----w- c:\archivos de programa\NCsoft
2009-10-17 12:32 . 2009-10-17 12:32 -------- d-----w- c:\archivos de programa\Microsoft Games for Windows - LIVE
2009-10-17 12:32 . 2009-10-17 12:32 -------- d-----w- c:\windows\system32\xlive
2009-10-17 12:31 . 2009-10-17 12:31 -------- d-----w- c:\windows\6833245EDD86479A882A8360D62C8194.TMP
2009-10-17 12:30 . 2009-10-17 12:30 10134 ----a-r- c:\documents and settings\Administrador\Datos de programa\Microsoft\Installer\{9FD6F1A8-5550-46AF-8509-271DF0E768B5}\ARPPRODUCTICON.exe
2009-10-17 12:30 . 2007-06-29 12:47 34304 ----a-w- c:\windows\system32\drivers\AmdLLD.sys
2009-10-17 12:30 . 2009-10-17 12:30 -------- d-----w- c:\archivos de programa\AMD
2009-10-17 11:59 . 2009-10-17 11:59 -------- d-----w- c:\archivos de programa\Electronic Arts
2009-10-17 11:59 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-10-17 11:59 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-10-17 11:59 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-10-17 11:59 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-10-17 11:59 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-10-17 11:59 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-10-17 11:59 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-10-17 11:58 . 2009-10-17 11:58 -------- d-----w- c:\windows\Logs
2009-10-14 10:48 . 2009-11-04 12:20 117760 ----a-w- c:\documents and settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\UIREPAIR.DLL
2009-10-14 10:47 . 2009-10-14 10:47 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2009-10-14 10:47 . 2009-10-15 07:58 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2009-10-14 10:47 . 2009-10-14 10:47 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2009-10-08 14:16 . 2009-10-08 14:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-08 14:16 . 2009-11-06 15:01 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\skypePM
2009-10-08 14:15 . 2009-11-06 16:38 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Skype
2009-10-08 14:14 . 2009-10-08 14:14 -------- d-----w- c:\archivos de programa\Archivos comunes\Skype
2009-10-08 14:14 . 2009-10-08 14:14 -------- d-----r- c:\archivos de programa\Skype
2009-10-08 14:14 . 2009-10-08 14:14 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-06 16:58 . 2009-09-30 10:29 -------- d-----w- c:\archivos de programa\Steam
2009-11-03 18:23 . 2009-09-29 18:18 -------- d-----w- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-11-03 18:09 . 2009-09-29 18:06 -------- d--h--w- c:\archivos de programa\InstallShield Installation Information
2009-10-27 18:32 . 2009-09-29 23:28 -------- d-----w- c:\archivos de programa\Lineage II
2009-10-25 12:09 . 2001-08-24 18:00 90396 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-25 12:09 . 2001-08-24 18:00 504656 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-19 00:58 . 2009-09-30 11:23 -------- d-----w- c:\archivos de programa\COMODO-
2009-10-17 12:22 . 2009-09-30 11:47 -------- d-----w- c:\archivos de programa\Eidos
2009-10-17 11:40 . 2009-09-29 18:18 -------- d-----w- c:\archivos de programa\AGEIA Technologies
2009-09-30 18:44 . 2009-09-30 18:44 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Megaupload
2009-09-30 18:44 . 2009-09-30 18:44 -------- d-----w- c:\archivos de programa\Megaupload
2009-09-30 11:54 . 2009-09-30 11:54 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-09-30 11:54 . 2009-09-30 11:54 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2009-09-30 11:54 . 2009-09-30 11:54 -------- d-----w- c:\archivos de programa\OpenAL
2009-09-30 11:27 . 2009-09-30 11:27 253688 ----a-w- c:\windows\system32\cssdll32.dll
2009-09-30 10:29 . 2009-09-30 10:29 15872 ----a-r- c:\documents and settings\Administrador\Datos de programa\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
2009-09-30 01:08 . 2009-09-29 18:15 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-29 23:46 . 2009-09-29 23:46 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Nero
2009-09-29 23:32 . 2009-09-29 23:32 1961720 ----a-w- c:\documents and settings\Administrador\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdatea x.exe
2009-09-29 18:32 . 2009-09-29 18:32 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Media Player Classic
2009-09-29 18:14 . 2009-09-29 18:14 -------- d-----w- c:\archivos de programa\DIFX
2009-09-29 18:12 . 2009-09-29 18:12 -------- d-----w- c:\archivos de programa\Realtek
2009-09-29 18:12 . 2009-09-29 18:06 -------- d-----w- c:\archivos de programa\Archivos comunes\InstallShield
2009-09-29 18:06 . 2009-09-29 18:06 -------- d-----w- c:\archivos de programa\NVIDIA Corporation
2009-09-29 18:05 . 2009-09-29 18:05 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\InstallShield
2009-09-29 18:00 . 2009-09-29 18:00 -------- d-----w- c:\archivos de programa\AIMP2
2009-09-29 17:58 . 2009-09-29 17:58 -------- d-----w- c:\archivos de programa\Windows Live
2009-09-29 17:58 . 2009-09-29 17:58 -------- d-----w- c:\archivos de programa\Windows Live SkyDrive
2009-09-29 17:57 . 2009-09-29 17:57 -------- d-----w- c:\archivos de programa\TaskSwitchXP
2009-09-29 17:55 . 2009-09-29 17:55 -------- d-----w- c:\archivos de programa\K-Lite Codec Pack
2009-09-29 17:54 . 2009-09-29 17:54 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Winamp
2009-09-29 17:54 . 2009-09-29 17:54 -------- d-----w- c:\archivos de programa\Winamp
2009-09-29 17:54 . 2009-09-29 17:54 -------- d-----w- c:\archivos de programa\Unlocker
2009-09-29 17:54 . 2009-09-29 17:54 603904 ----a-w- c:\windows\system32\TUProgSt.exe
2009-09-29 17:54 . 2009-09-29 17:54 360192 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-09-29 17:54 . 2009-09-29 17:54 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\TuneUp Software
2009-09-29 17:54 . 2009-09-29 17:53 -------- d-----w- c:\archivos de programa\TuneUp Utilities 2009
2009-09-29 17:53 . 2009-09-29 17:53 -------- d-----w- c:\documents and settings\All Users\Datos de programa\TuneUp Software
2009-09-29 17:53 . 2009-09-29 17:52 -------- d-----w- c:\archivos de programa\D-Tools
2009-09-29 17:52 . 2009-09-29 17:52 318 ----a-r- c:\documents and settings\Administrador\Datos de programa\Microsoft\Installer\{1CB92574-96F2-467B-B793-5CEB35C40C29}\ARPPRODUCTICON.exe
2009-09-29 17:51 . 2009-09-29 17:51 -------- d-----w- c:\documents and settings\All Users\Datos de programa\ESET
2009-09-29 17:51 . 2009-09-29 17:51 -------- d-----w- c:\archivos de programa\ESET
2009-09-29 17:51 . 2009-09-29 17:51 -------- d-----w- c:\archivos de programa\Archivos comunes\Nero
2009-09-29 17:51 . 2009-09-29 17:51 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Nero
2009-09-29 17:51 . 2009-09-29 17:51 -------- d-----w- c:\archivos de programa\Nero
2009-09-29 17:50 . 2009-09-29 17:50 -------- d-----w- c:\archivos de programa\Microsoft Works
2009-09-29 17:49 . 2009-09-29 17:49 -------- d-----w- c:\archivos de programa\Microsoft.NET
2009-09-29 17:48 . 2009-09-29 17:48 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-09-29 17:48 . 2009-09-29 17:48 -------- d-----w- c:\archivos de programa\Java
2009-09-29 17:48 . 2009-09-29 17:48 -------- d-----w- c:\archivos de programa\Lavalys
2009-09-29 17:48 . 2009-09-29 17:48 -------- d-----w- c:\archivos de programa\CCleaner
2009-09-29 17:48 . 2009-09-29 17:48 -------- d-----w- c:\archivos de programa\Foxit Reader
2009-09-29 17:45 . 2009-09-29 17:45 -------- d-----w- c:\archivos de programa\MSBuild
2009-09-29 17:45 . 2009-09-29 17:45 -------- d-----w- c:\archivos de programa\Reference Assemblies
2009-09-29 17:39 . 2009-09-29 17:21 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-09-29 17:22 . 2009-09-29 17:22 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-29 17:19 . 2009-09-29 17:19 21900 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-29 17:19 . 2009-09-29 17:19 -------- d-----w- c:\archivos de programa\Windows Media Connect 2
.

------- Sigcheck -------

[-] 2008-05-11 . C2BDEA3B5E025FADB79FD3DEB23B8F53 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-05-11 . 38FF5050D7BC47F344AE271B6C250201 . 3591680 . . [7.00.6000.16640] . . c:\windows\system32\mshtml.dll

[-] 2008-05-11 . 39E5AA52B667BDD18690336E7E410EAF . 826368 . . [7.00.6000.16640] . . c:\windows\system32\wininet.dll

[-] 2008-04-14 . C6C729770D9C3A0AD4D2D28788E71684 . 1698816 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . 7522F548A84ABAD8FA516DE5AB3931EF . 1036288 . . [6.00.2900.5512] . . c:\windows\XPize Darkside\Backup\explorer.exe


[-] 2008-04-14 . 97D44EE3E44CDC7035E3CB2EF20BABDB . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2008-04-14 . DAAE1CB1B1875B760496E7D3336DA1AD . 15360 . . [5.1.2600.5512] . . c:\windows\XPize Darkside\Backup\ctfmon.exe


[-] 2008-05-11 20:28 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

c:\windows\system32\wscntfy.exe ... is missing !!
c:\windows\system32\regsvc.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"TaskSwitchXP"="c:\archivos de programa\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 62976]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 30208]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2008-12-03 3882312]
"Steam"="c:\archivos de programa\steam\steam.exe" [2009-10-24 1217808]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-15 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"egui"="c:\archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray. dll" [2009-01-15 86016]
"amd_dc_opt"="c:\archivos de programa\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-11-01 417792]
"Malwarebytes Anti-Malware (reboot)"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-12-19 16062464]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"Alcmtr"="ALCMTR.EXE" - c:\windows\Alcmtr.exe [2005-05-03 69632]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 30208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-05-11 124928]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"SfcDisable"=dword:ffffff9d
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2 e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Archivos de programa\\Eidos\\Batman Arkham Asylum\\Binaries\\ShippingPC-BmGame.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfw tdir.sys [18/08/2008 12:27 34312]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [15/09/2009 10:42 9968]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [15/09/2009 10:42 74480]
R2 ekrn;Eset Service;c:\archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe [18/08/2008 12:25 468224]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [29/09/2009 18:54 603904]
R3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [15/09/2009 10:42 7408]
S2 gupdate1ca5eedc9f1d936;Servicio Google Update (gupdate1ca5eedc9f1d936);c:\archivos de programa\Google\Update\GoogleUpdate.exe [06/11/2009 15:31 133104]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [24/08/2001 19:00 17920]
S3 GarenaPEngine;GarenaPEngine;\??\c:\windows\Temp\XG B367.tmp --> c:\windows\Temp\XGB367.tmp [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2009-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-11-06 14:31]

2009-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-11-06 14:31]

2009-11-06 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\archivos de programa\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:00]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.es/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie_rsearch.html
uSearchMigratedDefaultURL = hxxp://www.google.com/custom?q={searchTerms}&client=pub-2788563222908654&forid=1&channel=0360347317&rls=co m.busca7:EN:com.busca7&ie={inputEncoding}&oe={outp utEncoding}&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A %23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFF FFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3 BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORI D%3A1
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
mSearchAssistant = hxxp://www.google.com/ie_rsearch.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Enlace de descarga usando Mega Manager... - c:\archivos de programa\Megaupload\Mega Manager\mm_file.htm
FF - ProfilePath -
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-06 18:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x899CCF00]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x899ccf00
Warning: possible MBR rootkit infection !
user & kernel MBR OK
malicious code @ sector 0x25429800 size 0x1ae !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x025429800 !
Use "Recovery Console" command "fixmbr" to clear infection !

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\G arenaPEngine]
"ImagePath"="\??\c:\windows\Temp\XGB367.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\SETUPAPI.dll
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(800)
c:\windows\system32\setupapi.dll
.
Completion time: 2009-11-06 18:07
ComboFix-quarantined-files.txt 2009-11-06 17:07

Pre-Run: 207.092.310.016 bytes libres
Post-Run: 207.109.468.160 bytes libres

- - End Of File - - C8B9D19F42E169AD9ED8D07E1D2A1931

Hola braddock, por favor realiza los siguientes pasos:


FASE 2

-Apaga el "Restaurar Sistema" y activa ver archivos ocultos.

-Descarga la herramienta MbrFix.exe y guardala en el directorio raiz C:\

• Quedando de la siguiente manera: C:\MbrFix.exe

A continuación descarga la herramienta Norman_Sinowal_Cleaner.exe y guárdala en una carpeta de fácil acceso o en el escritorio.


-Reinicia en Modo Seguro (a prueba de fallos) con el disco duro externo conectado al igual que la memoria USB.

-Ve a Inicio > Todos los programas > Accesorios > Símbolo del sistema

• Una vez en la ventana MS-DOS escribes el siguiente comando:

C:/mbrfix /drive 0 listpartitions <-- respetando los espacios tal cual esta escrito.

Te devolverá el listado de las particiones de esta forma:

A continuación escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la partición 1. Debes dejar los espacios tal cual están escritos en el comando.

Te devolverá lo siguiente:

Escoges Y para reparar y N para salir de la aplicación.

Si tienes mas de una partición o disco duro entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.
.
Dependiendo del listado que te devolvió el comando C:/mbrfix /drive 0 listpartitions


- Ejecuta la herramienta Norman_Sinowal_Cleaner.exe.


Acepta el acuerdo de licencia y le das Star Scan.


Por defecto la herramienta detectara todas las unidades de disco y externas del PC para escanearlas en busca del Rootkit y eliminarlo.

-Reinicias en modo normal y realizas un nuevo escaneo con GMER Rootkit Detector para comprobar los resultados.

NOTA:
-Antes de reparar el MBR asegúrese da hacer una copia de sus archivos más importantes.
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Hola de nuevo, estoy ahora mismo escaneando mi pc infectado con norman sinowarMBR cleaner, pero anteriormente hice lo q me dijiste en el post cito:

Te devolverá el listado de las particiones de esta forma:


Cita:
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\GuillermoTell>
C:\Documents and Settings\GuillermoTell>C:/mbrfix /drive 0 listpartitions
# Boot Size (MB) Type
1 Yes 10228 7 NTFS or HPFS
2 0 0 None
3 0 0 None
4 0 0 None

A continuación escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la partición 1. Debes dejar los espacios tal cual están escritos en el comando.

Te devolverá lo siguiente:


Cita:
C:\Documents and Settings\GuillermoTell>C:/mbrfix /drive 0 fixmbr
You are about to Fix MBR,
are you sure (Y/N)?

Escoges Y para reparar y N para salir de la aplicación.

Si tienes mas de una partición o disco duro entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.

El problema es q cuando le di a Y pulse enter e inmediatamente me salio otra vez esto C:\Documents and Settings\Administrador, es esto normal? o deberi tardar unos minutos por que esta escaneando el pc?

Gracias de antemano

Edito: ya he acabado todos los pasos y creo q sigo infectado dado q el GMER me dice lo siguiente:

Disk \Device\Harddisk0\DR0 sector61:malicious code @ sector 0x25429800 sice 0x1ae

Disk \Device\Harddisk0\DR0 sector62:copy of MBR

A ver si pueden ayudarme.

Hola realiza lo siguiente al pie de la letra:

Descarga la herramienta MbrFix.exe y la guardas en la raíz del disco duro osea en donde esta instalado Windows que generalmente es la unidad C:\ pero si lo has instalado en otra partición lo debes guardar en donde corresponde.

Te quedara asi:


C:\MbrFix.exe

Te vas a nicio > Todos los programas > Accesorios > Símbolo del sistema

Te saldra según lo que comentas esto:

C:\Documents and Settings\Administrador>

A continuación pegas esto:

C:/mbrfix /drive 0 listpartitions

Ta va a quedar asi:

C:\Documents and Settings\Administrador>C:/mbrfix /drive 0 listpartitions



Le das Enter y te va a devolver algo como esto:


Toma la captura de ese pantallazo para revisarla y decirte como proceder.

¿Cómo subir imágenes al Foro? *TUTORIAL*


NOTA: Si te sale algun aviso como esto:


Me avisas para decirte que debes y a que se puede deber eso.

Saludos.

Listo aki la tienes

Agradeceria alguna respuesta, tanto como para saber como seguir como para saber si no puedo hacer nada mas o mi caso no se va a seguir.

Vuelvo a hacer un llamamiento a ver si alguien puede ayudarme reparar el MBR de la partición 1 ya q creo q sigo teniendo el virus x ahi.