Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola!

He mirado por encima los temas del foro pero creo que no he visto niguno que tenga los mismos síntomas ... si es así, pido perdón de antemano.

Detalles:
SO: Windows XP
Protección: McAfee, spyBot

Problemática:

Primero el Pc empezó a colgarse a lo que no l presté mucha atención por que la verdad suele pasar con los Pcs.

Después al darle a Apagar (desde menú incio) el Pc se reinciaba en vez de apagarse. No le presté demasiado atención porque ni el antivirus, ni otros programas daban señales de alarma. Pensé que sería por las actualizaciones de Windows que se habían instalado automáticamente.

La última fase de este drama es que Firefox empezo a cerrarse de repente (pero no al entrar en webs o cargar videos, sino de imprevisto). Y por último el Pc se reinició pero el SO no arrancaba y volvía a reiniciarse, y vuelta a empezar. Intenté cargarlo en Modo Seguro tampoco (allí ya sentía pánico). Le di a todas ocpiones posibles con la esperanza de poder cargar el SO y poder arrancar algún programa para scanear el sistema. Al final arrancó con una de ellas.

Tenía el McAfee Security Center caducado desde hace unos días así que lo renové y además instalé el McAfee VirsScan Enterprise. Al reiniciar me salieron pantallas azules y etc. Volví a arrancarlo de milagro. Al pasar VirusScan nada de nada. Me descargue el MalwareByte de vuestra web. Scaneo completo y encontró 10 bichitos ... había tambien troyanos. Todo a cuarentena. Reinicio y pasa lo mismo, el SO no arranca ... vuelta a pantalla negra y eligo la otra opción de arranque vuelvo a pasar todo MalawareByte, viruScan, SpyBot y no encuentran nada ...pero seguimos igual.

No tengo ni idea de qué es. No instalé archivos sospechosos (solo unas actualizaciones automáticas de Windows), no visité webs que no haya visitado antes ... Lo único es que estuve con el Security Center caducado durante unos días.

Me podeis ayudar, por favor.

Muchas gracias de antemano.

holas intentaremos solucionar tu problema, es posible que aun quede algun bichito por ahi asi que lo quitaremos si es asi
aclaro: se ke dijiste ko no iniciaba pero ke kada tanto si asi ke intenta a ver si lo podemos solucionar.

primero que nada devemos apagar la opcion restaurar el sistema

primero devemos configurar algo para ke se vean lo archivos ocultos, aca el manual correspondiente.

inicia en modo aprueba de fallos

descarga y/o actualiza las siguientes herramientas pero no las ejecutes aun:
ccleaner
malwarebytes anti-malware
argente registry cleaner

instala malwarebyts y has un analisis completo del sistema, al finalizar selecciona quitar todo lo seleccionado para eliminar cualquier virus.
pd:recuerda guardar el log y pegarlo aki ^^

instala y/o actualiza el argente registry cleaner y configuralo en analisis profundo, una vez hecho esto realiza un scan y corrige los errores encontrados
pd: el paso 6 repitelo 2 veces

ejecuta ccleaner en sus modos limpiador normal y de registro, por si las dudas aca dejo su manual

reinicia el ordenador

luego nos cuentas como te fue, espero ke se solucione, de no ser asi ya se ke hacer

Hola! voy a intentar seguir los pasos que me has marcado ... pero no puedo arrancar el SO en modo a prube de fallos o modo seguro ... la unica manera de arrancar es en modo depuración ... lo voy a intentar así porq la verdad no me queda otra.

okis, yo estare todo el dia al msn, tonces cuando llega el correo de respuesta entro a ver que tal todo ^^

Perdón por el retraso ...

Seguí todos los pasos. todos los progaramas los pasé varias veces en Modo Depuración ... porq Modo Seguro no arranca. Y seguimos igual.

Nunguno de los programas ya encuentra nada pero el SO sigue sin arrancar.

El ultimo informe de Malwarebytes que encontró algo:

Malwarebytes' Anti-Malware 1.41
Versiуn de la Base de Datos: 3112
Windows 5.1.2600 Service Pack 3

06/11/2009 21:37:31
mbam-log-2009-11-06 (21-37-31).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 214234
Tiempo transcurrido: 1 hour(s), 8 minute(s), 34 second(s)

Procesos en Memoria Infectados: 0
Mуdulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Mуdulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\spool\prtprocs\w32x86\1A6.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.


Que podría ser???

si con los paso sde optimizacion para acelerar la pc y correjir errores en el registro que pueden probocar ese tipo de problemas no se soluciono entonces biene la mala noticia.. es un virus pero al buena es que de seguro deve tener solucion

primero que nada devemos apagar la opcion restaurar el sistema

descarga y/o actualiza las siguientes herramientas pero no las ejecutes aun:
dr web cure it - manual
hijackthis - manual


abre el dr web cure-it, al principio hara un chequeo express, espero a que termine y una vez que termine has un analisis completo y elimina todo lo encontrado, una vez terminado el mismo nos pegas el log que deje.

realiza un scan con kaspersky, aca su manual, una vez finalizado eliminas todo lo que encuentre y nos pegas su log.

ahora toca realizar un scan con panda activescan 2.0, aca su respectivo manual, como siempre cuando termine nos pegas su log.

reinicias el equipo.
luego nos cuentas que tal te fue ^^

Hola!

Primero, mil gracias por atender mis problemas, me estais salvando la vida :)

Segundo, cada escaneo me lleva un eternidad así que sorry. Voy por partes.

En analisis anteriores (con MalwareBytes) ya me había salido algo de Trojan Backdoor y etc (y lo eleminé). En estos ultimos que me habeis dicho que haga parece que tengo decenas de trojanos en el Pc.

Dr. Web

Client.exe C:\WINDOWS\system32 Trojan.MulDrop.34565 Eliminado.
RegUBP2b-LaRusa.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Eliminado.
Paloma Faith - New York.mp3 D:\Music Trojan.WMALoader Curado.

hijackthis log


kaspersky

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, November 9, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, November 09, 2009 02:41:58
Records in database: 3179435
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\
L:\

Scan statistics:
Objects scanned: 103847
Threats found: 4
Infected objects found: 5
Suspicious objects found: 1
Scan duration: 03:45:03


File name / Threat / Threats count
C:\Documents and Settings\LaRusa\Рабочий стол\Новая папка (2)\Alcohol.120%.v1.9.7.6221.Multi.Incl.KeyGen.7z Suspicious: Type_Win32 1
C:\Program Files\eMule\Incoming\AKVIS Chameleon 4.4.zip Infected: Trojan-Downloader.Win32.Bagle.bna 1
C:\Program Files\eMule\Incoming\AKVIS Chameleon 6.0.zip Infected: Trojan-Downloader.Win32.Bagle.bna 1
C:\WINDOWS\$NtServicePackUninstall$\sfc_os.dll Infected: Trojan.Win32.Patched.hp 1
C:\WINDOWS.0\system32\sfc_os.dll Infected: Trojan.Win32.Patched.hp 1
D:\Software\Nero 8 Ultra Edition 8.3.2.1 + Keygen.7z Infected: Trojan.Win32.Monder.gen 1

Selected area has been scanned.

Aquí eleminé manualmente los archivos, menos los que estan en la carpeta de Windows que me da un poco de cosa eleminar lo que sea en aquella carpeta. Debería de eleminarlos de todos modos???

Y ahora estoy con el Panda online ... que seguro que encontrará algo, pero no me dejará eleminarlo por lo de registrase y tal ...

Despues reiniciaré y ya os diré que tal me ha ido. Y mil gracias otra vez.. :)

Resultado de Panda ActiveScan:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-11-09 18:35:35
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 5
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
McAfee VirusScan Enterprise 8.7.0.570 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\larusa\cookies\larusa@atdmt[1].txt
02467958 W32/Vispat.A.worm Virus/Worm No 0 Yes No c:\windows\$ntservicepackuninstall$\wab.exe
02467958 W32/Vispat.A.worm Virus/Worm No 0 Yes No c:\program files\outlook express\wab.exe
02971445 Generic Malware Virus/Trojan No 0 Yes No c:\windows.0\system32\ssblue screen.scr
03899132 Generic Trojan Virus/Trojan No 0 No No d:\descargas\ak_cham_5.rar[akvis chameleon 5.0\akvis_retrial.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
No c:\program files\netratingsnetsight\netsight\nsmmgr.dll
No c:\windows\$ntservicepackuninstall$\ctfmon.exe
No c:\windows\$ntservicepackuninstall$\sfc_os.dll
No c:\windows.0\system32\ctfmon.exe
No c:\windows.0\system32\sfc_os.dll

VULNERABILITIES
Id Severity Description

Me registré y desinfecte lo que me dejaron desde la web. El archivo RAR que no era curable lo borré.

Resultado final:

Reinicio y la SO suigue sin poder arrancar en modo normal ... Estoy volviendo a pasar lo de Dr.WEB a ver si sale algo.

Alguna idea?

comencemos, veo que detecto mucho, sigue los siguientes pasos:


primero devemos configurar algo para ke se vean lo archivos ocultos, aca el manual correspondiente.

verifica que todos los virus hayan sido borrados, si no estan borrados borralos manualmente por mas que esten en alguna carpeta del sistema. los que aparecen como sospechosos tambien

ve a inicio-->ejecutar y escribe
se te abrira una carpeta, una vez dentro borra todos los archivos ke aparescan.

abre el hijack this y dale a las siguientes entradas:
usa el argente registry cleaner para limpiar el registro y recuerda corregir los errores que encuentre. esto siempre con la configuracion en analisis profunco claro, seria lo mismo que el paso de la primera guia.
pd: como siempre este paso lo repites 2 veces.

inserta el cd de windows y repara el sistema, aca el manual manual de como hacerlo.

reinicia la pc y nos cuentas que tal todo.

Supongo que sin lo de HiJackThis (eleminar me refiero) lo demas ya lo había hecho antes con el mismo resultado.

Lo de reinstalar el sistema ... a mi no me sale porq no puedo forzar a instalar en la misma carpeta, me sigue instalando copias aparte ... ya tengo unas 2 copias de mas de windows ... y todavía me las tengo q arreglar para borrarlas

Gracias de todos modos.

Por favor dad por terminado el tema para que pueda dirigirme a la sección de HiJackThis, a ver si allí me ayudan. O mejor se podría transferir el post entero, que volver a escribirlo todo...