Qqaghg0zgo.exe.(Terminado/Formateo)

Hola a todos. Os comento un poco lo que me pasa, a ver si podeis ayudarme.
Tenia instalado el Mcafee (de pago) y lo cierto que estaba tan tranquilo hasta que me di cuenta que estaba infectado hasta los huesos. El Mcafee ni se enteró.

Lo desinstale e instalé el Avira Free Antivirus y aunque se instaló, éste no se "activaba", el Realtime Protection me sale como apagado y no se puede activar. Si que deja realizar un System Scanner y aunque no me detecta virus si que me avisa de multiples "advertencias" de archivos que no le deja leer.

El Malware Anti-Malware me detecta varios malware y al darle a eliminar y reiniciar, windows se bloquea, no se puede inicar el equipo y me toca volver a restaurar a un punto anterior, con lo que los virus vuelven a aparecer.

CCleaner en la limpieza del registro, no me puede borrar este archivo: qqaghg0zgo.exe, que al parecer esta asociado al virus Trojan.Downloader.Cutwail.BE.
He intentando borrarlo yo a lo burro y con la herramienta fileasessin del Malware Anti-Malware y no me deja.

Lo último que he hecho ha sido pasar el ESET Online Scanner y me ha detectado :

Win64/Sirefef.G Troyano
una variante de Win32/Keygen.CY apliación
Win32/Adware.Toolbar.Dealio aplicación

Al darle finalizar elimina uno y los otros los pone en cuarentena. Al reiniciar lo mismo: no se puede iniciar el equipo y toca restaurar a un punto anterior, con lo que los virus vuelven a aparecer.

Ya no se que hacerle!!. Help!!

Hola agafarro Bienvenido a infospyware

Pásanos los reportes de las herramientas utilizadas hasta el momento

Salu2

Joer que rápido!. Muchas gracias!!

Esta es la de Eset online scanner:

C:\Program Files (x86)\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Adware.Toolbar.Dealio aplicación eliminado - puesto en Cuarentena
C:\Varios\D\PROGRAMAS\nero\nero 6\Nueva carpeta\Keygen.exe una variante de Win32/Keygen.CY aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Varios\D\PROGRAMAS\Word to PDF Converter 1.0\Crack\Word to PDF Converter Keygen.exe una variante de Win32/Keygen.CY aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
C:\Windows\system64\consrv.dll Win64/Sirefef.G Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
Memoria operativa múltiples amenazas

Hola de nuevo,

Tienes una infección muy severa,así que realiza los pasos despacio y con calma,leyendo todo tal cual está escrito:

Descarga,actualiza y realiza un escaneo completo con malwarebytes:Manual de Malwarebytes' Anti-Malware

-Instala el programa con idioma español.
-Vete a la pestaña actualizar y actualizas a la ultima version
-Vete a la pestaña Escáner y realizas un Ánalisis completo.
-Una vez finalizado, pulsa sobre "Mostrar los Resultados " y "Eliminar Seleccionadas" como se demuestra en esta foto
-En el caso de que te pida reiniciar,reinicia.
-Peganos el reporte del escaneo del malwarebytes despues de reiniciar,esta en la pestaña Registros.

Descarga y ejecuta TDSSKiller:Manual de TDSSKiller. siguiendo las instrucciones de su manual.

-Cuando la Herramienta termine Su trabajo, Reinicia el ordenador y conectate nuevamente a Internet.

-Después de terminar la búsqueda y eliminación, se generará un reporte en un archivo llamado TDSSKiller.txt, que puedes localizar en la raiz del disco C.


En modo normal

Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe para continuar. Es Importante instalar Recovery Console si es solicitado por ComboFix.
• Cuando termine, generará un registro en C:\ComboFix.txt.
• *Nota* Mientras ComboFix este trabajando no mover el mouse ya que pararía su proceso.
• *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

En tu próxima respuesta nos traes los tres reportes y cómo funciona todo

Salu2

Ok!. Voy a ello. Pero como os he comentado cuando paso el Malwarebytes, después no me deja reiniciar.
Lo volveré a intentar.
Gracias!

Hola de nuevo,

Probemos lo de malwarebytes primero,si no funciona sigue los otros dos pasos después de restaurar

Salu2

Por si acaso, este es el registro del Malwarebytes antes de "Eliminar seleccionados". Perdona pero es que soy un poco burrete.

Malwarebytes Anti-Malware (Versión de Prueba) 1.60.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.02.08.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Cristobal :: CMOTA2 [administrador]

Protección: Personas de movilidad reducida

08/02/2012 15:37:00
mbam-log-2012-02-08 (16-39-22).txt

Tipos de Análisis: Análisis Completo
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 482545
Tiempo transcurrido: 59 minuto(s), 47 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 2
C:\Varios\D\casa y varios\instalado en n70\Nueva carpeta (2)\CORE10k.EXE (Dont.Steal.Our.Software) -> No se tomaron medidas.
C:\Varios\D\PROGRAMAS\nero\Nero 7.0.1.2. Premium [Spanish][www.pctorrent.com]\keygen.exe (RiskWare.Tool.CK) -> No se tomaron medidas.

fin)

Bueno, he conseguido reiniciar. Explico como:
1. Se reinicia windows,
2. Cuando deberia salir el escritorio aparece la pantalla en negro, el puntero se ve y se mueve,
3. Ctr+alt+supr y consigo "cerrar sesion" y al entrar por segunda vez,
4. voila!, ahora si aparece el escritorio.
Gracias!. Sigo con el siguiente paso (TDSSKille)
Aqui el report del Malwarebytes despues de reiniciar:
Muchas Gracias!

Malwarebytes Anti-Malware (Versión de Prueba) 1.60.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.02.08.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Cristobal :: CMOTA2 [administrador]

Protección: Personas de movilidad reducida

08/02/2012 15:37:00
mbam-log-2012-02-08 (15-37-00).txt

Tipos de Análisis: Análisis Completo
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 482545
Tiempo transcurrido: 59 minuto(s), 47 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 2
C:\Varios\D\casa y varios\instalado en n70\Nueva carpeta (2)\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.
C:\Varios\D\PROGRAMAS\nero\Nero 7.0.1.2. Premium [Spanish][www.pctorrent.com]\keygen.exe (RiskWare.Tool.CK) -> En cuarentena y eliminado con éxito.

fin)

El TDSSKiller:
1. Lo descargo
2. Descomprimo y lo coloco en el escritorio.
3. Desconecto el cable de internet.
4. Hago doble click sobre TDSSKiller y me sale el siguiente error: Can't load driver.
5. Apreto ok.
6. Continuo segun el tutorial.
(Puede que hubiera tenido que desconectar el cable de internet despues de hacer doble click sobre TDSSKiller??).
Se han creado dos reports, supongo que uno hasta el error y otro del resto:

1er Report:

17:06:23.0918 1120 TDSS rootkit removing tool 2.7.10.0 Feb 7 2012 15:14:46
17:06:23.0933 1120 ================================================== ==========
17:06:23.0933 1120 Current date / time: 2012/02/08 17:06:23.0933
17:06:23.0933 1120 SystemInfo:
17:06:23.0933 1120
17:06:23.0933 1120 OS Version: 6.1.7600 ServicePack: 0.0
17:06:23.0933 1120 Product type: Workstation
17:06:23.0933 1120 ComputerName: CMOTA2
17:06:23.0933 1120 UserName: Cristobal
17:06:23.0933 1120 Windows directory: C:\Windows
17:06:23.0933 1120 System windows directory: C:\Windows
17:06:23.0933 1120 Running under WOW64
17:06:23.0933 1120 Processor architecture: Intel x64
17:06:23.0933 1120 Number of processors: 4
17:06:23.0933 1120 Page size: 0x1000
17:06:23.0933 1120 Boot type: Normal boot
17:06:23.0933 1120 ================================================== ==========
17:06:32.0232 1120 !crdlk
17:06:32.0248 1120 Drive \Device\Harddisk0\DR0 - Size: 0x3A35294400 (232.83 Gb), SectorSize: 0x200, Cylinders: 0x76BA, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
17:06:32.0248 1120 \Device\Harddisk0\DR0:
17:06:32.0248 1120 MBR used
17:06:32.0248 1120 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x4E800, BlocksNum 0x187F000
17:06:32.0248 1120 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x18CD800, BlocksNum 0x1B8DB000
17:06:32.0279 1120 Initialize success
17:06:32.0279 1120 ================================================== ==========
17:06:34.0089 1748 Deinitialize success

2º Report del TDSSKiller:

17:06:38.0613 1204 TDSS rootkit removing tool 2.7.10.0 Feb 7 2012 15:14:46
17:06:38.0613 1204 ================================================== ==========
17:06:38.0613 1204 Current date / time: 2012/02/08 17:06:38.0613
17:06:38.0613 1204 SystemInfo:
17:06:38.0613 1204
17:06:38.0613 1204 OS Version: 6.1.7600 ServicePack: 0.0
17:06:38.0613 1204 Product type: Workstation
17:06:38.0613 1204 ComputerName: CMOTA2
17:06:38.0613 1204 UserName: Cristobal
17:06:38.0613 1204 Windows directory: C:\Windows
17:06:38.0613 1204 System windows directory: C:\Windows
17:06:38.0613 1204 Running under WOW64
17:06:38.0613 1204 Processor architecture: Intel x64
17:06:38.0613 1204 Number of processors: 4
17:06:38.0613 1204 Page size: 0x1000
17:06:38.0613 1204 Boot type: Normal boot
17:06:38.0613 1204 ================================================== ==========
17:08:18.0562 1204 !crdlk
17:08:18.0578 1204 Drive \Device\Harddisk0\DR0 - Size: 0x3A35294400 (232.83 Gb), SectorSize: 0x200, Cylinders: 0x76BA, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
17:08:18.0578 1204 \Device\Harddisk0\DR0:
17:08:18.0578 1204 MBR used
17:08:18.0578 1204 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x4E800, BlocksNum 0x187F000
17:08:18.0578 1204 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x18CD800, BlocksNum 0x1B8DB000
17:08:18.0609 1204 Initialize success
17:08:18.0609 1204 ================================================== ==========
1747.0995 2096 ================================================== ==========
1747.0995 2096 Scan started
1747.0995 2096 Mode: Manual;
1747.0995 2096 ================================================== ==========
1748.0432 2096 1394ohci (969c91060cbb5d17cb8440b5f78b4c51) C:\Windows\system32\DRIVERS\1394ohci.sys
1748.0432 2096 1394ohci - ok
1748.0463 2096 Suspicious service (NoAccess): 7506aa75cf678135
1748.0510 2096 7506aa75cf678135 (9255ba715f24f3fae827385ca80bc380) C:\Windows\System32\Drivers\7506aa75cf678135.sys
1748.0510 2096 Suspicious file (NoAccess): C:\Windows\System32\Drivers\7506aa75cf678135.sys. md5: 9255ba715f24f3fae827385ca80bc380
1748.0541 2096 7506aa75cf678135 ( LockedService.Multi.Generic ) - warning
1748.0541 2096 7506aa75cf678135 - detected LockedService.Multi.Generic (1)
1748.0588 2096 ACPI (6f11e88748cdefd2f76aa215f97ddfe5) C:\Windows\system32\DRIVERS\ACPI.sys
1748.0588 2096 ACPI - ok
1748.0650 2096 AcpiPmi (63b05a0420ce4bf0e4af6dcc7cada254) C:\Windows\system32\DRIVERS\acpipmi.sys
1748.0650 2096 AcpiPmi - ok
1748.0712 2096 ADIHdAudAddService (52ae4ebd1056d598b9a51990b6d829f0) C:\Windows\system32\drivers\ADIHdAud.sys
1748.0712 2096 ADIHdAudAddService - ok
1748.0868 2096 adp94xx (2f6b34b83843f0c5118b63ac634f5bf4) C:\Windows\system32\DRIVERS\adp94xx.sys