Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, soy nuevo en esto, pero llevo todo el dia peleando con el ordenador pq se me ha infectado con BIFROST, me ha creado una carpeta con ese nombre en Archivos de programa que no me deja eliminar, el antivirus no la detecta (Avast!), dentro de la carpeta hay un arcivho server.exe Por mucho que busco aqui y hago puebas no consigo eliminarlo.
Ayer me bloqueaba el Administrador de tareas, ahora he conseguido, siguiendo sus pasos, que eso no ocurra, pero al iniciar windows se activa y por ello no puedo eliminarlo, pese a ello el administrador de tareas no lo detecta activado.
Esperando me haya explicado correctamente, espero sus savios consejos para matar definitivamente este tema.
Gracias.

Hola

descargate estas herramientas

FileASSASSIN

ccleaner

Regseeker

Apaga el Restaurar Sistema

activar la opción Ver archivos ocultos

Inicia el sistema en Modo a Prueba de Fallos

dede PANEL DE CONTROL,luego en AGREGAR Y QUITAR PROGRAMAS desinstala si tienes el BIFROSE

busca y elimina los archivos que se encuentran en la carpeta C:/Archivos de programa/BIFROSE usando el FileASSASSIN con la opcion marcada (eliminar al reiniciar windows)

busca y elimina los siguientes archivos (los pongo en rojo) usando el FileASSASSIN,si los llegaras a tener

C:\windows\system32\Lexplorer.exe

C:\windows\system32\Plugin1.dat

Utiliza el ccleaner(limpia cookies y temporales) (manual)

Pasa el RegSeeker (limpiar el registro), pásalo varias veces hasta que ya no te salga nada, te dejo un manual para limpiar el registro bien(manual)

Reinicia el sistema en modo normal

Cuando termines los pasos Activa restaurar sistema y esconde los archivos ocultos

has un nuevo analisis con

ewido online (cuando termine dale en removeinfection)(manual)

kaspersky online (pega el reporte entero que te genere)(manual)


te espero........

salu2

He seguido todos los pasos que me has indicado y aparentemente he coseguido borrar el contenido de la carpeta de Bifrost; ya no se activa cuando inicio el PC.
El Ewido no ha encontrado ningún virus, ni ningun elemento infectado.
Y el report del Kaspersky es el siguiente:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, May 21, 2007 4:23:10 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 21/05/2007
Kaspersky Anti-Virus database records: 325415
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 39033
Number of viruses found: 1
Number of infected objects: 3 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:57:06

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked skipped
C:\Archivos de programa\eMule0.47c\Incoming\Windows 95 osr2 Windows 98 SE Windows ME en Español autoarrancable y Utilidades varias (antivirus,firewalls,nero,etc) by FranciscoDanielRodriguezBello.iso/Utilidades/vnc/vnc-4_1_1-x86_win32.exe/data0001 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4110 skipped
C:\Archivos de programa\eMule0.47c\Incoming\Windows 95 osr2 Windows 98 SE Windows ME en Español autoarrancable y Utilidades varias (antivirus,firewalls,nero,etc) by FranciscoDanielRodriguezBello.iso/Utilidades/vnc/vnc-4_1_1-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4110 skipped
C:\Archivos de programa\eMule0.47c\Incoming\Windows 95 osr2 Windows 98 SE Windows ME en Español autoarrancable y Utilidades varias (antivirus,firewalls,nero,etc) by FranciscoDanielRodriguezBello.iso ISO image: infected - 2 skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Temp\Perflib_Perfdata_b0.dat Object is locked skipped
C:\Documents and Settings\Usuari\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Usuari\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{23CAC001-56D6-402E-A6B6-D06717D37CF8}\RP1\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{5F6DE8 5B-B2C3-47A6-B10D-3B8583E68C43}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{E73795 EC-DB47-43AE-BE5D-91A1B6044B79}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked skipped
C:\WINDOWS\system32\config\sam Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\security Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_190.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


Espero una respuesta por tu parte,

Muchas gracias.

hola

en un principio tendrias que eliminar este archivo/iso

C:\Archivos de programa\eMule0.47c\Incoming\Windows 95 osr2 Windows 98 SE Windows ME en Español autoarrancable y Utilidades varias (antivirus,firewalls,nero,etc) by FranciscoDanielRodriguezBello.iso ,, no te fies.no dan nada gratis y como muestra el reporte esta infectado,, , si lo eliminas (es lo mejor en este foro tienes herramientas gratuitas y muy buenas ) despues pasa el CCleaner de nuevo y realiza un nuevo scan,,nos dejas el reporte en caso de mostrar infeccion o pasas por el tema y nos comentas como sigue el pc
revisa aqui

• Anti-Virus - Info Spyware
• Vota por el mejor Firewall del 2007

Con que programa me recomiendas que lo elimine el archivo?

Sigo el mismo proceso que para eliminar el Bifrost?

Es decir: Desde modo seguro utilizo el FileASSASSIN? Es necesario que apague el Restaurar el Sistema y desbloquee los archivos ocultos?

Deduzco que el problema inicial con el Bifrost ya ha desparecido y que la aprición de este archivo infectado debía estar en mi ordenador hace tiempo ya que lo descargue hace algunos meses, estoy equivocado?

Gracias!

Hola.

Eso es opcional , puedes intentar borrar desde modo normal , y lo de los archivo es por si no los encontraras por que luego se ocultan , pero es opcional , si borralos con el FileAssasin , pero lo demas dejalo por si en modo normal no puedes.

Si ese problema parace haber quedado en el olvido ya que no aparece infecion ya por el .

espero tus resultados!

Hola de nuevo,
parece ser que ya esta solucionado: he borrado el archivo, pasado el CCleaner, y por último he hecho un scanner online ocn kaspersky y este es el report final, sino me equivoco ahora esta todo limipio.

Espero confirmación,

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, May 22, 2007 2:28:05 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 22/05/2007
Kaspersky Anti-Virus database records: 325664
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 38361
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:43:30

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Historial\History.IE5\MSHist0120070522200705 23\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\Configuración local\Temp\Perflib_Perfdata_2ec.dat Object is locked skipped
C:\Documents and Settings\Usuari\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Usuari\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Usuari\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Usuari\UserData\index.dat Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{23CAC001-56D6-402E-A6B6-D06717D37CF8}\RP1\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{B535CD 57-5879-4F7D-B8A5-887C3AF7C01E}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked skipped
C:\WINDOWS\system32\config\sam Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\security Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_194.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


muchas gracias a todos por la ayuda, un saludo!

Olaaaaaaaaaaa

EN ausencia de mis colegas:

El reporte esta limpio, ya no muestra mas malware en tu PC, por lo que veo ya quedo todo listo, NO te confies en los SO que se distribuyen por P2P son inseguros!!

Si tienes dudas la envias un MP a un moderador para reabrir el tema.

Salu2!

**Tema Solucionado**