Se desactiva sólo el antivirus (Solucionado)

**Alice_Project** · 29/03/12, 09:30:42

Buenos días, tengo el siguiente problema. Sea cual sea el antivirus que instale (Panda Cloud, McFee, Avast) lo instalo lo más bien pero no hay forma de activarlo. Lo más probable es que tenga algún virus potente, pase el Anti-Malware Bytes y me detecto como 15 bichos y los saqué pero algo debe seguir quedando. Yo creo que debe ser un rootKit. Que puedo hacer?
Necesito solucionar el problema ya que es la pc principal de una red de trabajo.

Gracias de antemano.

Saludos!

**Leosolari** · 29/03/12, 13:32:16

Hola

Descargá a Tu escritorio la Herramienta llamada Yorkyt (De Panda Security)
Doble clic para ejecutarla.
Te pedirá reiniciar el sistema para completar la Búsqueda / Eliminación del rootkit. Presionas Aceptar.
Su reporte que queda en el escritorio. Si es necesario, Vamos a solicitar que lo copies y pegues. Por ahora NO es necesario.

Descargá a Tu escritorio Malwarebytes y lo instalas y actualizas según su manual. Si ya lo tenes, solo debes Actualizarlo.
Una vez instalado, lo ejecutas y Seleccionas hacer un "Escaneo Completo".
Una vez finalizado, si detecta algo, pulsá "Quitar lo Seleccionado" como lo muestra Esta Imagen .
Si te pide reiniciar, lo haces.

En tu Próxima respuesta, debes poner:

El Reporte de Malwarebytes (Está en Su pestaña Registro)
Como va el ordenador ahora.

Saludos

**Alice_Project** · 30/03/12, 08:33:37

Buenos días, dejo el reporte:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.03.26.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrador :: SERVIDOR [administrador]

30/03/2012 09:18:08 a.m.
mbam-log-2012-03-30 (09-18-08).txt

Tipos de Análisis: Análisis Completo
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 234461
Tiempo transcurrido: 9 minuto(s),

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 0
(No se han detectado elementos maliciosos)

fin)

La PC sigue con el mismo problema. Tengo Panda Cloud, lo activo y a los segundos se desactiva sólo.

Saludos.

**Leosolari** · 30/03/12, 10:02:23

Hola

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
- *Nota* No vuelvas a utilizar ComboFix ni ningun otro programa antivirus hasta que no te de una respuesta.

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

El reporte generado, se encuentra en C:\ComboFix.txt . Abrilo, seleccionas Todo y lo copias y pegas en Tu próxima respuesta.

NOTAS IMPORTANTES:

° Una vez Terminado el Trabajo de ComboFix, podes activar Tu antivirus.

° No Pongas los Reportes Dentro de Etiquetas Code ni HTML.

° No vuelvas a ejecutar ningún otro programa antivirus hasta que vuelva con una respuesta.

Saludos

**Alice_Project** · 30/03/12, 10:38:16

Dejo el reporte:

ComboFix 12-03-30.06 - Administrador 30/03/2012 11:29:12.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2047.1590 [GMT -3:00]
Running from: c:\documents and settings\Administrador\Escritorio\ComboFix.exe
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrador\Datos de programa\auditoria00.log
c:\documents and settings\Administrador\Datos de programa\RandShot.bat
c:\windows\system32\drivers\2e8d50c688ee2712.sys
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_2e8d50c688ee2712
-------\Service_2e8d50c688ee2712
.
.
((((((((((((((((((((((((( Files Created from 2012-02-28 to 2012-03-30 )))))))))))))))))))))))))))))))
.
.
2012-03-30 14:33 . 2012-03-30 14:33 -------- d-----w- c:\windows\system32\xircom
2012-03-30 14:33 . 2012-03-30 14:33 -------- d-----w- c:\windows\system32\wbem\snmp
2012-03-30 14:33 . 2012-03-30 14:33 -------- d-----w- c:\windows\system32\oobe
2012-03-30 14:33 . 2012-03-30 14:33 -------- d-----w- c:\windows\srchasst
2012-03-30 12:14 . 2012-01-17 20:55 28424 ----a-w- c:\windows\system32\drivers\PRSBDrvr.sys
2012-03-30 12:11 . 2012-03-30 12:11 -------- d-----w- c:\windows\system32\DBBK
2012-03-26 15:57 . 2012-03-26 15:57 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Panda Security
2012-03-26 15:56 . 2012-03-26 15:56 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2012-03-26 15:56 . 2012-03-30 14:24 -------- d-----w- c:\archivos de programa\Panda Security
2012-03-26 15:56 . 2012-03-26 15:56 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Panda Security
2012-03-26 15:56 . 2012-03-26 15:56 -------- d-----w- C:\temp
2012-03-26 15:44 . 2012-03-26 15:44 -------- d-----w- C:\TDSSKiller_Quarantine
2012-03-26 14:30 . 2012-03-30 12:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\AVAST Software
2012-03-26 14:30 . 2012-03-26 18:04 -------- d-----w- c:\archivos de programa\AVAST Software
2012-03-15 12:51 . 2012-03-26 12:24 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Yfu
2012-03-15 12:51 . 2012-03-15 12:51 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Qaukv
2012-03-13 12:44 . 2012-03-13 12:44 -------- d-----w- c:\archivos de programa\Trustee
2012-03-12 13:35 . 2012-03-12 13:35 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2012-03-12 13:34 . 2012-03-12 13:34 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2012-03-12 13:34 . 2012-03-12 13:34 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2012-03-12 13:34 . 2011-12-10 18:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-06 11:20 . 2007-02-17 14:21 63488 ----a-w- c:\windows\xcacls.exe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-04 14:32 . 2011-05-05 12:54 121816 ----a-w- c:\archivos de programa\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
.
.
[-] 2008-05-11 16:28 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-17 01:12 3872080 ----a-w- c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 15:59 254696 ----a-w- c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Archivos de programa\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\Archivos de programa\\PopMessenger\\PopMessenger.exe"=
.
R0 Mraid2k;Mraid2k;c:\windows\system32\drivers\Mraid2k.sys [11/05/2008 02:05 p.m. 23936]
R2 e$ntkdd;e$ntkdd;c:\windows\system32\drivers\E$NTKDD.SYS [15/04/2011 04:45 p.m. 7668]
R2 HARDkey - Servidor de Red;HARDkey - Servidor de Red;c:\windows\system32\hknetsrv.exe [15/04/2011 04:45 p.m. 205312]
R2 hkey-kdd;hkey-kdd;c:\windows\system32\drivers\hkey-KDD.SYS [15/04/2011 04:45 p.m. 43776]
R2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IPROSetMonitor.exe [06/04/2011 09:32 a.m. 109728]
R4 PsBoot;Panda boot driver;c:\windows\system32\Drivers\PsBoot.sys --> c:\windows\system32\Drivers\PsBoot.sys [?]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28/03/2011 01:26 p.m. 717296]
S3 CFcatchme;CFcatchme;\??\c:\windows\Temp\CFcatchme.sys --> c:\windows\Temp\CFcatchme.sys [?]
S3 PRSBDrvr;PRSBDrvr;c:\windows\system32\drivers\PRSBDrvr.sys [30/03/2012 09:14 a.m. 28424]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - PSBOOT
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
.
2012-03-30 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\archivos de programa\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-21 09:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{E8E58F31-2A6E-4155-B43A-17E552C027E6}: NameServer = 200.40.30.245,200.40.220.245
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\4i0b9mi4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.uy/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-30 11:34
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-1214440339-179605362-1606980848-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,73,73,fd,b9,ce,2e,37,44,97,5f,75,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,73,73,fd,b9,ce,2e,37,44,97,5f,75,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(1048)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
.
**************************************************************************
.
Completion time: 2012-03-30 11:35:34 - machine was rebooted
ComboFix-quarantined-files.txt 2012-03-30 14:35
.
Pre-Run: 16,753,680,384 bytes libres
Post-Run: 16,795,865,088 bytes libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
.
- - End Of File - - BE3848CA9600602F3E1DF07C6F3E403B

Luego instale Panda Cloud y funciona correctamente.
Gracias por la ayuda.
Saludos!

**Leosolari** · 30/03/12, 11:55:00

Hola

Desinstalá CF de la siguiente manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /Uninstall como muestra la imagen debajo:

Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Nos comentas como sigue Todo ahora

Saludos

**Alice_Project** · 30/03/12, 16:36:33

Muchas gracias Leosolari. Ya quedó todo bien!!

Saludos!

**Leosolari** · 30/03/12, 16:44:01

Por cualquier otro problema, no dudes en volver a postear

Tema Solucionado

Si deseas REABRIR ESTE TEMA, presiona

y Tu consulta serà atendida

Te dejo saludos.

Como recomendación final, te invitamos a seguirnos en nuestros canales de difusión:

Blog,

Twitter,

Facebook,

vía E-Mail, para estar al tanto de los nuevos malwares y como prevenirlos.

Se desactiva sólo el antivirus (Solucionado)

Herramientas

Se desactiva sólo el antivirus (Solucionado)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)

Re: Se desactiva sólo el antivirus (sea cual sea)