Hola a todos!
Necesito ayuda, un virus el win32.sality.e me ha infectado todos los archivos ejecutables .exe. HAce 3 dias tuve que formatear el disco duro, instale otra vez windows XP home edition SP1 y tras instalar el bitdefender 9 me detecto este virus y otros 2 mas y no puedo eliminarlos. Vi ene ste foro (http://www.forospyware.com/t72252.html) que alguien tuvi el mismo problema y he hecho lo siguiente:
Desactiva Restaurar Sistema
Descarga y actualiza Spybot Search&Destroy
Descarga CCleaner y RegSeeker

Reinicia en Modo Seguro
Ejecuta Spybot y limpia lo que encuentre.
Haz una Limpieza con CCleaner y RegSeeker.

Reinicia en Modo Normal y pasa Kaspersky on line, pegando aquí el reporte que genere.
Aqui os pego el report del kaspersky, espero me podais ayudar!
Gracias!


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
lunes, 02 de abril de 2007 22:16:51
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 2/04/2007
Registros en la base antivirus: 273697
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 15007
Virus encontrados: 3
Objetos infectados: 10 / 0
Objetos sospechosos: 0
Duración del análisis: 00:15:23

Bombre del objeto infectado / Nombre del virus / Última acción
C:\1.vbs Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\SIMO\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\SIMO\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\SIMO\Impostazioni locali\Cronologia\History.IE5\MSHist01200704022007 0403\index.dat Object is locked saltado
C:\Documents and Settings\SIMO\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\SIMO\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\SIMO\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\SIMO\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\SIMO\ntuser.dat.LOG Object is locked saltado
C:\Programmi\Softwin\BitDefender9\asdict.dat Object is locked saltado
C:\Programmi\Softwin\BitDefender9\aspdict.dat Object is locked saltado
C:\Programmi\Softwin\BitDefender9\Quarantine\msq32 .exe Infectados: Backdoor.Win32.Rbot.gen saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlmp.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlpa.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrpamp.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlmp.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrpamp.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Infectados: Virus.Win32.Sality.l saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SCHEDLGU.TXT Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\.exe Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\kvwlkjvw.exe Object is locked saltado
C:\WINDOWS\system32\spoolsvc.exe Infectados: Backdoor.Win32.Rbot.btf saltado
C:\WINDOWS\system32\TFTP1308 Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\Temp\tmp000073ac\tmp00000000 Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

------------------------------------------------------------------------------------------------------------
hola buenas!!

hola realiza estos pasos ,sin saltarte ninguno
desinstala cualkier elemento ke tengas y se encuentre en estas listas= AntiSpywares sospechosos y no confiables (Actualizado 9 de Enero del 2007)-Programas P2P con y sin Spyware (Actualizado 01 de Julio 06)-Lista 3- * Listado de Codecs falsos (Actualizado al 02/3/07)



Realiza los siguientes pasos:

-Descarga y/o actualiza las siguientes herramientas:

* SuperAntiSpyware,
Disk Cleaner + Manual
RegSeeker + Manual
FileASSASSIN


- desactiva el "Restaurar Sistema" (System Restore) Solo en Win ME y XP. y activa "ver archivos ocultos"

- inicia el pc en "Modo a Prueba de Fallos" (modo seguro)

Busca y elimina los siguientes archivos usando FileASSASSIN:
---------------------------------------------------

• C:\Programmi\Softwin\BitDefender9\Quarantine\msq32 .exe
  
• C:\WINDOWS\system32\spoolsvc.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlmp.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlpa.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrpamp.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlmp.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrpamp.exe
  
• C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
  

-------------------------------------------------


-Ejecuta la herramienta antispyware SuperAntiSpyware. (Elimina todos los archivos que estan en la cuarentena de tu Antivirus y vacia la papelera de reciclaje).



- Utiliza " Disk Cleaner " para limpiar cookies y temporales. Pasar el RegSeeker para limpiar el registro, pásalo varias veces .

-Reinicia el sistema en modo normal. Repite los pasos y .

Pasale

• ewido - manual ewido usa la opcion Remove Infections
• karpesky - manual karpesky

P.D.: Al terminar los pasos active nuevamente el restaurar sistema y esconde los archivos ocultos.
Imprime los pasos para mayor facilidad.


1*-Pega el reporte del antivirus entero.
2*-Lee atentamente los manuales.
3*-Puedes imprimirte los pasos para mayor facilidad
4*-Recuerda volver a comentarnos si se soluciono el problema

Hola ACSIS!
LO primero gracias poe contestar!
A ver te cuento, he hecho todo lo que me has dicho pero no he podido instalar Superantispyware porque me salia un mensaje diciendo que habia un problema con windows installer, asi que pase otros antispyware somo Spybot y Ad-aware.
Acabo de pasar Ewido y me ha borrado solo 1 file que detecto comno infectado:
backdoor.rbot y estaba en system32/TFTP1708.
Luego he intentado pasar mil veces el kaspersky pero se cuelga todo el rato, me detecta un virus y supuestamente debe estar en c:/1.vbs pero no es seguro.
Como se cuelga no te puedo colgar el report que me recominedas?????
El ordenata sigue colgado, cada vez que abro internet solo puedo abrir 1 pagina porque sino tengo que volver a reiniciar...una pesadillas (uso firefox). Uso otro antivirus online para que te pueda pegar un report y asi veas donde esta el/los virus???
gracias!

Hola ciberpunky

Si no puedes utilizar el Internet Explorer, prueba con un escaneo con Kaspersky Online, pero con la extension del mismo. Para eso, descarga el KOS_micro desde el siguiente link:
KOS Micro Scanner

También intenta pasarle el Panda ActiveScan Online y nos pegas el reporte.

Salu2
Recuerda volver

Hola Devil!

Nada de nada, he pasado los dos antivirus online y el ordenata se cuelga. lo unico que he podido hacer para que puedas ver donde estan los virus es pasar el antivirus que tengo (Bit defender), aqui te pego el log.
Espero tus instrucciones! gracias!
Otra cosa, me salen mensajes todo el rato diciendo que windows ha encontrado problemas criticos de sistema y me dice que me meta en www.clean32, www.win32fix etc...supongo que son debidos a los virus...

//-----------------------------------------------------------------
//
// Product: BitDefender 9 Professional Plus
// Version: 9.5
//
// Created on: 03/04/2007 16:30:47
//
//-----------------------------------------------------------------


Statistics

Scan path : A:\
C:\
D:\
E:\
Folders : 1515
Files : 85403
Archives : 3361
Packed files : 6417
Identified viruses : 4
Infected files : 5
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 5
Renamed files : 0
I/O errors : 25
Scan time : 00:16:17
Scan speed (files/sec) : 87

Virus definitions : 416969
Scan plugins : 14
Archive plugins : 38
Unpack plugins : 6
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: C:\Programmi\Softwin\BitDefender9\Logs\vscan_11756 10647.log


Summary:

C:\1.vbs Infected: Trojan.Downloader.VBS.J
C:\1.vbs Disinfection failed
C:\1.vbs Moved
C:\WINDOWS\system32\.exe Infected: Worm.Allaple.A
C:\WINDOWS\system32\.exe Disinfection failed
C:\WINDOWS\system32\.exe Moved
C:\WINDOWS\system32\kvwlkjvw.exe Infected: DeepScan:Generic.Ranky.99D248CB
C:\WINDOWS\system32\kvwlkjvw.exe Disinfection failed
C:\WINDOWS\system32\kvwlkjvw.exe Moved
C:\WINDOWS\system32\MSWDNS32.exe Infected: Backdoor.Prorat.CH
C:\WINDOWS\system32\MSWDNS32.exe Disinfection failed
C:\WINDOWS\system32\MSWDNS32.exe Moved
C:\WINDOWS\system32\TFTP1308 Infected: Backdoor.Prorat.CH
C:\WINDOWS\system32\TFTP1308 Disinfection failed
C:\WINDOWS\system32\TFTP1308 Moved

Hola ciberpunky



Realiza todos los pasos sin saltarte ninguno,por favor.

<--- Paso 1 --->

• Descarga esta herramienta,la instalas,actualizala,pero no la ejecutes aún.

• AVG Anti-Spyware 7.5-Manual
• Ccleaner(Manual)

<--- Paso 2 --->

• Apaga Restaurar Sistema
• Ver archivos ocultos
• Reinicia a prueba de fallos

<--- Paso 3 --->

• Busca y elimina estos archivos y/o carpetas,Para archivos que no se dejen eliminar usa "FileASSASSIN"(con la opción "Use la función de borrado normal")

• C:\1.vbs
• C:\1.vbs
• C:\1.vbs
• C:\WINDOWS\system32\.exe
• C:\WINDOWS\system32\.exe
• C:\WINDOWS\system32\.exe
• C:\WINDOWS\system32\kvwlkjvw.exe
• C:\WINDOWS\system32\kvwlkjvw.exe
• C:\WINDOWS\system32\kvwlkjvw.exe
• C:\WINDOWS\system32\MSWDNS32.exe
• C:\WINDOWS\system32\MSWDNS32.exe
• C:\WINDOWS\system32\MSWDNS32.exe
• C:\WINDOWS\system32\TFTP1308
• C:\WINDOWS\system32\TFTP1308
• C:\WINDOWS\system32\TFTP1308

• Si no encuentras alguno usa el buscador (Inicio/Buscar/Todos los archivos y/o carpetas)

<--- Paso 4 --->

• Pasa estas herramientas(de a una):

• AVG Anti-Spyware 7.5-Manual
• Tu Antivirus, previamente actualizado.

<--- Paso 5 --->

• Usa el Ccleaner para limpiar el sistema,primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

<--- Paso 6 --->

• Reinicia el pc a modo normal

<--- Paso 7 --->

• Instálate el SpywareBlaster 3.4 Manual
• Elimina todas las cuarentenas que tengas y vacia la papelera tambien.

------------------------------------------

No pudiste hacer un análisis al sistema con Panda??

Hace los siguientes pasos

<--- Paso 1 --->

• Descarga el SilentRunner (dale click con el boton derecho del ratón al enlace y luego en Guardar enlace cómo, Save as o Save Link as....)

<--- Paso 2 --->

• Ejecuta el script, al hacerlo, te hará unas preguntas, en dichas preguntas contesta 'No' y 'Si' (en ese orden)....

<--- Paso 3 --->

• Luego, deberás esperar (aunque parezca que no hace nada) a que te aparezca un mensaje con el botón OK

<--- Paso 4 --->

• En la misma carpeta que ejecutes el script aparecerá un archivo llamado Reporte el cual deberás colocarlo aquí (si lo abres o envías antes de ver el mensaje con el botón Ok, no estará completo)

salu2
Recuerda volver y contarnos los resultados

Hola Devil,
siento volver a molestar, pero he intentado varias veces descargarme e instalarme las actualizaciones de windows, pero no lo consigo.Cuando le doy a instalar, despues de un rato me sale el mensaje que estas actualiciaciones no se han instalado.
Que hago, sigo con todo lo que me has dicho indipendentemente de que no pueda actualizar el windows?
Muchas gracias.

Hola ciberpunky

Sigue los otros pasos,cuando terminemos de desinfectar el sistema vemos el problema del las actualizaciones.

Salu2
Recuerda volver

Hola Devil,
Ya he hecho todos los pasos que dijiste, lo unico que el silent runner no funciono por el siguiente problema (mira abajo), que hago me descargo WMIDiag.vbs???
Espero tus noticias
Mil gracias!

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

FATAL ERROR!
------------

"Silent Runners" cannot use WMI to identify the operating system.
This is caused by corruption of the WMI installation.

WMI is complex and it is recommended that you use a Microsoft
tool, "WMIDiag.vbs," to diagnose WMI on your system.

It can be downloaded here:

http://go.microsoft.com/fwlink/?LinkId=62562

Hola Devil, al final consegui pasar el panda aqui te pego el log. Ahora intentre pasar el kaspersky a ver si me deja.
Una cosilla, es que me da la sensacion que cada vezque escaneo con los antivirus aparecen mas virus nuevos y spyware. Lo positivo es que desaparecen los anteriores...
Gracias

Incidencia Estado Elemento

Virus:W32/Sdbot.KCD.worm Desinfectado C:\WINDOWS\system32 \qwkykmtc.exe
Adware:Adware/Yazzle No desinfectado C:\WINDOWS\system32\TFTP2028
Adware:Adware/Yazzle No desinfectado C:\WINDOWS\system32\TFTP452
Adware:Adware/Yazzle No desinfectado C:\WINDOWS\system32\TFTP760
Virus:Bck/Poebot.MA Desinfectado C:\WINDOWS\system32\uermsks.exe