Troyano Generic27.PN ¿ComboFix?

**IKIRIK** · 14/02/12, 18:41:03

Buenas,

He consultado los consejos del foro y otros temas similares solucionados... Pero viendo los consejos de varios foreros y tras aplicar varios programas recomendados, creo que he de consultaros por aquí antes de atreverme a usar el ComboFix

Como a otra gente estos días, hace unas horas mi AVG free edition ha empezado a detectarme amenazas sin parar (una por minuto + o -), archivos .dll de System32. Y cada vez que hacía una búsqueda en google me redireccionaba a una web que empieza por abnow.

He pasado el Malwarebytes tras actualizarlo. Detectó varios problemas y los eliminó. Copio el reporte más abajo.

Reinicié y ya el AVG no me detectaba amenazas (ahora me detecta constantemente una supuesta track cookie). Pero firefox aún sigue redireccionándome las búsquedas hacia abnow, y me da problemas al abrir por ejemplo gmail, así como noto lentitud general en el pc.

He descargado el Glary Utilities y el ComboFix. He ejecutado el GlaryUtilities que ha encontrado un montón de errores de registro (881). Le he dado a solucionar. He reiniciado.

El problema continúa, desgraciadamente

Ahora debería instalar y ejecutar el ComboFix no? Pero todos decís que es peligroso y que hay que consultar primero, así que os pego el reporte del Malwarebytes para ver si algún experto puede ayudarme y aconsejarme si he de pasar el ComboFix o no...

Muchas gracias por vuestra atención

Informe de malwarebytes:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.02.14.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
IÑAKI :: IK [administrador]

14/02/2012 18:55:33
mbam-log-2012-02-14 (18-55-33).txt

Tipos de Análisis: Análisis Completo
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 332153
Tiempo transcurrido: 2 hora(s), 54 minuto(s), 48 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 17
C:\Documents and Settings\IÑAKI\Configuración local\Archivos temporales de Internet\Content.IE5\IVNJK2Q0\3[1].exe (Trojan.Dropper.PE4) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Archivos temporales de Internet\Content.IE5\XQHTX0ED\._.._load_87[1].exe (Trojan.Ransom) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\kvytkc.exe (Rogue.SecurityShield2011) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\mfhuwnkmt.exe (Trojan.Ransom) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\X (Rootkit.0Access) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\U\00000001.@ (Backdoor.0Access) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\U\000000c0.@ (Trojan.Agent) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\U\000000cb.@ (Trojan.Agent) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\U\000000cf.@ (Trojan.Agent) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Datos de programa\b8123fe9\U\800000c0.@ (Rootkit.0Access) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Temp\rrrsas.exe (Rogue.SecurityShield2011) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Temp\rrsas.exe (Trojan.Ransom) -> En cuarentena y eliminado con éxito.
C:\Documents and Settings\IÑAKI\Configuración local\Temp\ldd.exe (Rogue.SecurityShield2011) -> En cuarentena y eliminado con éxito.
C:\WINDOWS\ASSEMBLY\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Se eliminarán al reiniciar.
C:\Documents and Settings\IÑAKI\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Se eliminarán al reiniciar.
C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Se eliminarán al reiniciar.
C:\Documents and Settings\IÑAKI\Mis documentos\Downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> En cuarentena y eliminado con éxito.

fin)

**Leosolari** · 14/02/12, 18:43:55

Hola IKIRIK

Por favor, seguí este procedimiento:

PASO 1

Descargá estas herramientas a Tu escritorio, pero NO ejecutes nada aún:

° TDSSKiller

º Glary Utilities y lo instalas según Su manual.

º Malwarebytes. Lo instalas y actualizas según su manual. Si ya lo tenes, Solo debes actualizarlo.

º ComboFix.exe

Desconectá el ordenador de Internet. Desenchufá el Cable

PASO 2

Ejecutá TDSSKiller tal cual lo indica Su manual. Cuando termine, Guardas Su reporte en el escritorio.

PASO 3

Ejecutá Malwarebytes

Hacé un "Escaneo Completo".
Una vez finalizado, si detecta algo, elegis "Quitar lo seleccionado" como lo indica Esta Imagen
Si te pide reiniciar, lo haces.

PASO 4

Ejecutá Glary Utilities

Presioná el Boton Mantenimiento un Clic
Presioná el Boton Ver Resultados y esperá a que termine.
Cuando termine, presionas el Boton Reparar Problemas.

PASO 5

Ejecutá ComboFix

Desactivá temporalmente el Antivirus y/o Antispyware.
Cerrá todas las ventanas abiertas.
Hace doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Recién ahora, conectate a internet

En tu próxima respuesta, debes poner lo siguiente:

° El reporte de TDSSKiller
º El reporte de Malwarebytes, que se encuentra en su pestaña REGISTROS
º El reporte de ComboFix
º Como funciona tu pc ahora

NOTAS IMPORTANTES:

° Una vez Terminado el Trabajo de ComboFix, podes activar Tu antivirus.

° No Pongas los Reportes Dentro de Etiquetas Code ni HTML.

° No vuelvas a ejecutar ningún otro programa antivirus hasta que vuelva con una respuesta.

° Si No podes realizar un paso, lo saltas y seguis con el próximo.

Saludos

**IKIRIK** · 14/02/12, 19:08:41

Muchas gracias Leo,

He descargado el TDSSKiller y el resto ya los tengo. Pero el Malwarebytes me tardará unas 3 horas en hacer un análisis completo, así que no podré pegarte todos los informes hasta mañana.

Gracias por tu ayuda y hasta mañana (espero no tener problemas con el famoso ComboFix

**Leosolari** · 14/02/12, 19:55:58

Hola

Hacé tranquilo todo el trabajo.

**IKIRIK** · 15/02/12, 12:52:03

Hola,

Ha ocurrido algún desastre. Ahora mismo escribo desde otro ordenador pues el mio no puede iniciar Windows.
Pasé el TDSSkiller, el Malwarebytes y el GlaryUtilities (no puedo pegar los reportes porque no puedo acceder a mi escritorio)

El problema vino con el ComboFix. Mientras se estaba ejecutando me saltó el screensaver y me pareció que se quedó bloqueado, así que moví el mouse para quitar el secreensaver y ya no se veía nada más que el fondo de pantalla y no podía hacer nada. Así que no sé si fué el screensaver o el mover el mouse, pero el caso es que se bloqueó todo. Creo que había pasado ya la Stage5 o la Stage6 del proceso de ComboFix.

Para reiniciar tuve que desenchufar y quitar la batería (es un portátil). Y ya al iniciar me sale una pantalla en negro que dice que:

"Windows no se ha iniciado correctamente"
y me da varias opciones para elegir:

Modo seguro
Modo seguro con funcionalidad red
Modo seguro con símbolo del sistema

La última configuración conocida

Iniciar windows normalmente

Pues he probado todas las opciones y en todos los casos se empiezan como a cargar drivers, pero acaba saliendo una pantalla azul que me dice que:

"Se ha encontrado un problema y windows ha sido apagado para evitar daños al equipo.
Si esta es la 1ª vez q ve esta pantalla de error reinicie. Si esta pantalla aparece otra vez siga los siguientes pasos:
Compruebe si existen virus en su equipo. Quite discos duros instalados recientemente o controladores d disco. Compruebe su disco para estar seguro d que está correctamente configurado y finalizado. Ejecute CHKDSK /F para comprobar la existencia d posibles daños en el disco duro y, por último reinicie.

Información técnica:
*** STOP: 0x0000007B (0xF8A79528, 0XC0000034, 0X0000000, 0X0000000)

Pues en esas estoy porque ni puedo reiniciar ni sé como ejecutar chkdsk /f ni ndad. Solo puedo desenchufar e iniciar de nuevo y me ocurre todo el rato lo mismo...

La verdad es que estoy bastante acojonado. ¿Alguna sugerencia?

PD1. Por si el dato sirve, al iniciar la ejecución del ComboFix me pidió que me conectase a internet porque tenía que actualizar la consola de restauración de windows antes de continuar, así que eso hice y ya se quedó concetado a internet durante el resto de la ejecución, hasta el bloqueo cuando el screensaver...

PD2. Como no puedo pegar los reportes, por lo menos describo lo que hicieron los aneriores programas. El TDSSkiller solo detectó 1 posible amenaza de grado medio que recomendaba saltar (skip) y eso hice siguiendo el manual. El Malwarebytes encontró 135 objetos infectados (y eso que ayer ya lo había pasado y se habían eliminado unos 15) los cuales eliminé. Y el GlaryUtilities eliminó archivos temporales y corrigió algunas cosas del registro.

**IKIRIK** · 15/02/12, 14:02:03

Se me olvidaba! Durante la ejecución del ComboFix, me decía que el rootkit estaba alojado en algo relacionado con el TCP/IP creo. Y ayer el AVG hablaba de Zero.Access en alguno de sus avisos de amenazas. Por si te sirve de algo...

**Leosolari** · 15/02/12, 15:23:37

Hola

En vista de los grandes daños, producto de la cantidad de infecciones que habia (y Hay) en el ordenador, lo ideal seria que hagas una reinstalación del sistema, ya que el mismo ha quedado extremadamente dañado e inestable.

Saludos

**IKIRIK** · 15/02/12, 15:37:31

Hola Leo, gracias.
Con reinstalación del sistema te refieres a que instale Windows otra vez?
Ok, voy a probar a ver si me deja...

**IKIRIK** · 15/02/12, 15:44:05

Perdona Leo,
¿sabrías como puedo reinstalar el Windows? No consigo hacer nada. Simplemente me salen las panatallas que te he descrito más arriba y aunque introduzco el CD no sé como iniciarlo...

**Leosolari** · 15/02/12, 16:01:49

Hola

Fijate en el Sector de Windows de este Foro. Allí se indica como reparar y / o reinstalar un sistema Operativo.

Saludos

Troyano Generic27.PN ¿ComboFix?

Herramientas

Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?

Re: Troyano Generic27.PN ¿ComboFix?