• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    ¿Qué puedo hacer para desinfectar archivos del sistema?

    Buenas noches. Verán, tengo una PC con Windows XP Professional SP2 con Avast Antivirus instalado. Hace un par de días la encencí y el antivirus me dijo que la protección en tiempo real no respondía ...

    1. #1
      Usuario Avatar de fabri013
      Registrado
      nov 2011
      Ubicación
      Arequipa, Perú
      Mensajes
      9

      Malware ¿Qué puedo hacer para desinfectar archivos del sistema?

      Buenas noches.

      Verán, tengo una PC con Windows XP Professional SP2 con Avast Antivirus instalado. Hace un par de días la encencí y el antivirus me dijo que la protección en tiempo real no respondía o el proceso AvastSvc.exe puede estar siendo bloqueado por cortafuegos; lo ignoré pero el problema fue de que no tenía acceso a recursos de Internet. Practiqué con el comando "ping" y me dijo que hay un grave conflicto con la dirección IP (código de error 2).

      Pienso que la amenaza fue por un malware, y no me equivoqué, por que entrando en "Modo Seguro", pude instalar Malwarebytes Anti-Malware y si, había detectado 10 malwares, pero lo que me preocupa es que ha detectado que el archivo "explorer.exe" está infectado. Supongo que ese es indispensable para el sistema, pero solo Malwarebytes me permite erradicarlo, mas no desinfectarlo.

      Más información está en el reporte de análisis de Malwarebytes que dejo a continuación:

      Malwarebytes Anti-Malware 1.70.0.1100
      www.malwarebytes.org

      Versión de la Base de Datos: v2012.12.14.11

      Windows XP Service Pack 2 x86 NTFS (Modo Seguro/Red)
      Internet Explorer 8.0.6001.18702
      Administrador :: PPEZOPC-CC0A38B32 [administrador]

      04/01/2013 05:13:04 p.m.
      MBAM-log-2013-01-04 (17-27-14).txt

      Tipos de Análisis: Análisis Rápido
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 214511
      Tiempo transcurrido: 6 minuto(s), 38 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 9
      HKCR\CLSID\{147A976F-EEE1-4377-8EA7-47… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKCU\SOFTWARE\Microsoft\Windows\Curren… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Windows\Curren… Helper Objects\{00A6FAF1-072E-44CF-8957-5838F56… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKCU\SOFTWARE\Microsoft\Windows\Curren… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Windows\Curren… Helper Objects\{07B18EA1-A523-4961-B6BB-170DE44… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E0… (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467… (Trojan.Vundo) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Multimedia\WMP… (PUP.MyWebSearch) -> No se tomaron medidas.

      Valores del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Detectados: 1
      HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.

      Carpetas Detectadas: 2
      C:\Archivos de programa\FunWebProducts (PUP.MyWebSearch) -> No se tomaron medidas.
      C:\Archivos de programa\FunWebProducts\Shared (PUP.MyWebSearch) -> No se tomaron medidas.

      Archivos Detectados: 2
      C:\WINDOWS\explore.exe (Trojan.Agent) -> No se tomaron medidas.
      C:\Archivos de programa\FunWebProducts\Shared\00C33757.… (PUP.MyWebSearch) -> No se tomaron medidas.

      - Fin de la revisión-

      Tengo miedo a eliminarlo y que el sistema deje de responder. ¿Alguna ayuda sobre como desinfectarlo?

    2. #2
      Usuario Avatar de Raudron
      Registrado
      sep 2012
      Ubicación
      El Mundo
      Mensajes
      1.467

      Re: ¿Qué puedo hacer para desinfectar archivos del sistema?

      Hola Fabricio Bienvenido a ForoSpyware.


      Podés eliminar todo sin miedo a que el sistema deje de responder. Mira:
      C:\WINDOWS\explore.exe (Trojan.Agent) -> No se tomaron medidas.
      Cuando el nombre del proceso correspondiente al Explorador de Windows es Explorer.EXE

      Hay varios malwares que utilizan archivos con nombres similares a los de los archivos del sistema. O archivos con el mismo nombre que algún archivo de sistema, pero en una ubicación completamente diferente.

      P.D.: Hiciste un Análisis Rápido (y con la base de datos desactualizada). Si se quiere comprobar que el equipo no está infectado, es una buena opción. Pero si está infectado, lo mejor es hacer un análisis Completo. Luego te doy los pasos correspondientes

      Elimina las amenazas detectadas y nos comentás cómo funciona el equipo
      Saludos
      Última edición por Raudron fecha: 05/01/13 a las 16:50:02 Razón: Agrego información.

    3. #3
      Usuario Avatar de fabri013
      Registrado
      nov 2011
      Ubicación
      Arequipa, Perú
      Mensajes
      9

      Re: ¿Qué puedo hacer para desinfectar archivos del sistema?

      Hola, gracias por la bienvenida

      Bueno, tengo un defecto grande que es ser muy apresurado, no me percaté de que era un archivo falso y no el verdadero proceso del Explorador de Windows (LOL)

      Pero bueno, ahora si me siento relajado y puedo desinfectar la PC sin ningún inconveniente. Pero tomaré mucho en cuenta en mantener actualizado la versión de Malwarebytes al día y hacer un Análisis Completo (de hecho pensaba hacerlo, pero toma bastante tiempo, como unas 5 horas).

      Nuevamente, gracias por responder.

    4. #4
      Usuario Avatar de Raudron
      Registrado
      sep 2012
      Ubicación
      El Mundo
      Mensajes
      1.467

      Re: ¿Qué puedo hacer para desinfectar archivos del sistema?

      Hola,

      Cita Originalmente publicado por fabri013
      Bueno, tengo un defecto grande que es ser muy apresurado, no me percaté de que era un archivo falso y no el verdadero proceso del Explorador de Windows (LOL)
      Suele pasar, suele pasar
      En general MBAM no da falsos positivos.

      Cita Originalmente publicado por fabri013
      hacer un Análisis Completo (de hecho pensaba hacerlo, pero toma bastante tiempo, como unas 5 horas).
      Probaste y te tardó 5 horas? Te pregunto porque suele tardar mucho menos.
      Para generar un reporte más limpio, podés utilizar CCleaner en su modo Limpiador y Registro antes de hacer el escaneo.

      Te ayudamos a desinfectar el equipo, o damos el tema por Solucionado?

      Saludos

    5. #5
      Usuario Avatar de fabri013
      Registrado
      nov 2011
      Ubicación
      Arequipa, Perú
      Mensajes
      9

      Re: ¿Qué puedo hacer para desinfectar archivos del sistema?



      Es que como tengo una HP Pavilion dv6 con un Disco duro de 640GB, por eso se habrá demorado como lo que estimé, pero esta computadora que esta infectada tiene 50GB (es algo antigua), le hice el Analisis Completo y demoró 45 minutos. Exageré

      Pero bueno, hice el análisis completo y salieron más amenazas:

      Malwarebytes Anti-Malware 1.70.0.1100
      www.malwarebytes.org

      Versión de la Base de Datos: v2012.12.14.11

      Windows XP Service Pack 2 x86 NTFS (Modo Seguro/Red)
      Internet Explorer 8.0.6001.18702
      Administrador :: PPEZOPC-CC0A38B32 [administrador]

      07/01/2013 03:12:34 p.m.
      MBAM-log-2013-01-07 (15-48-22).txt

      Tipos de Análisis: Análisis Completo (C:\|D:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 272574
      Tiempo transcurrido: 48 minuto(s), 14 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 9
      HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44CF-8957-5838F569A31D} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (PUP.MyWebSearch) -> No se tomaron medidas.
      HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (PUP.MyWebSearch) -> No se tomaron medidas.

      Valores del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Detectados: 1
      HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.

      Carpetas Detectadas: 2
      C:\Archivos de programa\FunWebProducts (PUP.MyWebSearch) -> No se tomaron medidas.
      C:\Archivos de programa\FunWebProducts\Shared (PUP.MyWebSearch) -> No se tomaron medidas.

      Archivos Detectados: 4
      D:\Descargas\postalesterra.exe (Trojan.VB) -> No se tomaron medidas.
      D:\Descargas\postalesterra (1).exe (Trojan.VB) -> No se tomaron medidas.
      C:\WINDOWS\explore.exe (Trojan.Agent) -> No se tomaron medidas.
      C:\Archivos de programa\FunWebProducts\Shared\00C33757.dat (PUP.MyWebSearch) -> No se tomaron medidas.

      - Fin de la revisión -

      Bueno, ahora tengo temor de que elimine entradas de registro que dependan del funcionamiento correcto del sistema. Una pregunta ¿Todas son entradas con malware o hay una que debo de mantener y que no es dañina?

    6. #6
      Usuario Avatar de Raudron
      Registrado
      sep 2012
      Ubicación
      El Mundo
      Mensajes
      1.467

      Re: ¿Qué puedo hacer para desinfectar archivos del sistema?

      Hola,

      Mira, aparece de nuevo el archivo que comentábamos antes:

      C:\WINDOWS\explore.exe (Trojan.Agent) -> No se tomaron medidas.
      Lo eliminaste en el análisis rápido?

      Cita Originalmente publicado por fabri013
      Bueno, ahora tengo temor de que elimine entradas de registro que dependan del funcionamiento correcto del sistema. Una pregunta ¿Todas son entradas con malware o hay una que debo de mantener y que no es dañina?
      Al revés en todo caso
      Ninguna de esas entradas que MBAM detecta son inofensivas o pertenecen al sistema. Corresponden al adware FunWeb (O MyWebSearch), que secuestra los navegadores e instala toolbars y extensiones.

      La entrada que te detecta como PUM, es básicamente una modificación de un valor del registro que desactiva el Centro de Seguridad de Windows.

      Y te dejo información sobre el Trojan.VB

      En síntesis: Podés borrar todo sin problema alguno. Todo lo contrario

      Nos comentas.
      Saludos