¡Virus increíble! ayúdenme por favor
Resuelto
Joyal
Mensajes publicados
44
Estado
Miembro
-
Lyonnais92 Mensajes publicados 25708 Estado Colaborador de seguridad -
Lyonnais92 Mensajes publicados 25708 Estado Colaborador de seguridad -
Hola,
¡Acabo de ser contaminada por un virus muy potente!
Ya me he enfrentado a muchos virus/troyanos/adware/etc. y siempre he logrado deshacerme de ellos sin tener que formatear mi PC. Eliminando un archivo o ayudándome de foros (¡la jurisprudencia informática! jajaja) o incluso descargando "kit de eliminación de nombre del virus" y demás "fix de nombre del virus".
He intentado todo con este, pero nada funciona.
Te explico:
Cuando el PC arranca, Kaspersky encuentra un troyano: WIN32.trojan.agent.amhv en un archivo .dll que se encuentra en c:\windows\system32
Elijo la eliminación y ahí Kaspersky me pide un reinicio para eliminar completamente la amenaza.
Y cuando el PC se reinicia, Kaspersky encuentra el mismo troyano y me vuelve a pedir que reinicie y nunca elimina realmente el virus (bueno, llegué hasta 8 reinicios pero creo que 100 reinicios no habrían cambiado nada...)
Si elijo bloquear la aplicación en Kaspersky (KAV para los amigos), recibo 1 notificación de KAV por segundo que me informa que la acción ha sido bloqueada, etc. Pero puedo usar mi PC.
explorer.exe no deja de detenerse, así que no hay escritorio ni barra de tareas ni explorador de Windows...
Hago Ctrl+Alt+Supr y hago nueva tarea: explorer.exe > ejecutar y ahí explorer.exe funciona pero dura 5 segundos
Además, cuando inicio una nueva aplicación, tengo un mensaje de error que me notifica que "nombredelaaplicación no es una aplicación WIN32 válida...etc." así que es imposible hacer algo.
Cuando arranco en modo seguro, es el mismo caos...
Si arranco KAV en modo seguro, recibo una docena de notificaciones diferentes a las que no entendí nada, y las últimas me dicen que KAV ya no es válido porque la última licencia expiró el 01/01/1970 !!!! jajaja
Sin embargo, ahí logro iniciar aplicaciones como firefox, etc. (modo seguro con soporte de red)
Ad-aware no encuentra nada, Spybot tampoco. KAV no puede eliminarlo...
Incluso intenté descargar un software (VIPRE Antivirus) que afirmaba poder resolver mi problema. De hecho, es el único sitio que encontré buscando "WIN.trojan.agent.amhv" en google y aparentemente, la última actualización de firmas contenía este famoso "troyano".
Cuando instalo el software, tengo un mensaje al final de la instalación que me dice que "el administrador no ha aceptado la instalación de esta aplicación" !!!! jajaja (sigo en modo seguro...)
Había un segundo sitio que explicaba que era un "Troyano Downloader" pero nada para eliminarlo.
En resumen, no sé qué más hacer... Espero que alguien pueda ayudarme. ¿Quieres que publique un informe de HijackThis? Si es así, ¿directamente en el post? (¿no demasiado largo?)
Gracias de antemano por tus respuestas.
Julien.
¡Acabo de ser contaminada por un virus muy potente!
Ya me he enfrentado a muchos virus/troyanos/adware/etc. y siempre he logrado deshacerme de ellos sin tener que formatear mi PC. Eliminando un archivo o ayudándome de foros (¡la jurisprudencia informática! jajaja) o incluso descargando "kit de eliminación de nombre del virus" y demás "fix de nombre del virus".
He intentado todo con este, pero nada funciona.
Te explico:
Cuando el PC arranca, Kaspersky encuentra un troyano: WIN32.trojan.agent.amhv en un archivo .dll que se encuentra en c:\windows\system32
Elijo la eliminación y ahí Kaspersky me pide un reinicio para eliminar completamente la amenaza.
Y cuando el PC se reinicia, Kaspersky encuentra el mismo troyano y me vuelve a pedir que reinicie y nunca elimina realmente el virus (bueno, llegué hasta 8 reinicios pero creo que 100 reinicios no habrían cambiado nada...)
Si elijo bloquear la aplicación en Kaspersky (KAV para los amigos), recibo 1 notificación de KAV por segundo que me informa que la acción ha sido bloqueada, etc. Pero puedo usar mi PC.
explorer.exe no deja de detenerse, así que no hay escritorio ni barra de tareas ni explorador de Windows...
Hago Ctrl+Alt+Supr y hago nueva tarea: explorer.exe > ejecutar y ahí explorer.exe funciona pero dura 5 segundos
Además, cuando inicio una nueva aplicación, tengo un mensaje de error que me notifica que "nombredelaaplicación no es una aplicación WIN32 válida...etc." así que es imposible hacer algo.
Cuando arranco en modo seguro, es el mismo caos...
Si arranco KAV en modo seguro, recibo una docena de notificaciones diferentes a las que no entendí nada, y las últimas me dicen que KAV ya no es válido porque la última licencia expiró el 01/01/1970 !!!! jajaja
Sin embargo, ahí logro iniciar aplicaciones como firefox, etc. (modo seguro con soporte de red)
Ad-aware no encuentra nada, Spybot tampoco. KAV no puede eliminarlo...
Incluso intenté descargar un software (VIPRE Antivirus) que afirmaba poder resolver mi problema. De hecho, es el único sitio que encontré buscando "WIN.trojan.agent.amhv" en google y aparentemente, la última actualización de firmas contenía este famoso "troyano".
Cuando instalo el software, tengo un mensaje al final de la instalación que me dice que "el administrador no ha aceptado la instalación de esta aplicación" !!!! jajaja (sigo en modo seguro...)
Había un segundo sitio que explicaba que era un "Troyano Downloader" pero nada para eliminarlo.
En resumen, no sé qué más hacer... Espero que alguien pueda ayudarme. ¿Quieres que publique un informe de HijackThis? Si es así, ¿directamente en el post? (¿no demasiado largo?)
Gracias de antemano por tus respuestas.
Julien.
Configuración: Windows XP Firefox 3.0.4
10 respuestas
Hola,
la desaparición de los síntomas no significa desinfección.
Te aconsejo:
1) publicar el informe de MBAM
2) hacer esto:
Abre este enlace y descarga ZHPDiag:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html
Una vez que la descarga haya terminado, descomprime el archivo obtenido y coloca ZHPDiag.exe en tu Escritorio.
Haz doble clic en el ícono para iniciar el programa.
Haz clic en Todos para marcar todas las casillas de las opciones.
Haz clic en la lupa para iniciar el análisis.
Al final del análisis, haz clic en la cámara y guarda el informe en tu Escritorio.
Abre el archivo guardado (ZHPDiag.txt) con el Bloc de notas y copia su contenido en tu respuesta.
--
@+
Haz lo que se te pide, ni más ni menos.
No crees duplicados, ni en CCM ni en ningún otro sitio. Gracias.
la desaparición de los síntomas no significa desinfección.
Te aconsejo:
1) publicar el informe de MBAM
2) hacer esto:
Abre este enlace y descarga ZHPDiag:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html
Una vez que la descarga haya terminado, descomprime el archivo obtenido y coloca ZHPDiag.exe en tu Escritorio.
Haz doble clic en el ícono para iniciar el programa.
Haz clic en Todos para marcar todas las casillas de las opciones.
Haz clic en la lupa para iniciar el análisis.
Al final del análisis, haz clic en la cámara y guarda el informe en tu Escritorio.
Abre el archivo guardado (ZHPDiag.txt) con el Bloc de notas y copia su contenido en tu respuesta.
--
@+
Haz lo que se te pide, ni más ni menos.
No crees duplicados, ni en CCM ni en ningún otro sitio. Gracias.
Buenas noches
si puedes descargar Malwaresbytes sería genial
lo instalas, haces una actualización y luego un escaneo rápido para empezar y eliminas todo lo que haya encontrado (el escaneo completo puede tardar más de una hora)
si puedes descargar Malwaresbytes sería genial
lo instalas, haces una actualización y luego un escaneo rápido para empezar y eliminas todo lo que haya encontrado (el escaneo completo puede tardar más de una hora)
¡Buenas noches,
¡Muchas gracias, Georges86400!
Después del escaneo, encontró 17 archivos que eliminó, algunos después de reiniciar, ¡y desde entonces todo está perfecto!
¡Gracias de nuevo! :-)
¡Muchas gracias, Georges86400!
Después del escaneo, encontró 17 archivos que eliminó, algunos después de reiniciar, ¡y desde entonces todo está perfecto!
¡Gracias de nuevo! :-)
Buenas noches Lyonnais92,
gracias por tu mensaje.
Aquí está el informe de MBAM:
Malwarebytes' Anti-Malware 1.31
Versión de la base de datos: 1472
Windows 5.1.2600 Service Pack 3
08/12/2008 02:57:13
mbam-log-2008-12-08 (02-57-06).txt
Tipo de búsqueda: Análisis completo (C:\|D:\|)
Elementos examinados: 111707
Tiempo transcurrido: 27 minuto(s), 30 segundo(s)
Proceso(s) de memoria infectado(s): 0
Módulo(s) de memoria infectado(s): 2
Clave(s) del Registro infectada(s): 7
Valor(es) del Registro infectado(s): 1
Elemento(s) de datos del Registro infectado(s): 4
Carpeta(s) infectada(s): 0
Archivo(s) infectado(s): 5
Proceso(s) de memoria infectado(s):
(Ningún elemento malicioso detectado)
Módulo(s) de memoria infectado(s):
C:\WINDOWS\system32\ljJYRLbB.dll (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\khfFUOeC.dll (Trojan.Vundo) -> No se tomaron medidas.
Clave(s) del Registro infectada(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1da6f1f-cf58-4d8f-84a4-f6bd7208e466} (Trojan.Vundo.H) -> No se tomaron medidas.
HKEY_CLASSES_ROOT\CLSID\{a1da6f1f-cf58-4d8f-84a4-f6bd7208e466} (Trojan.Vundo.H) -> No se tomaron medidas.
HKEY_CLASSES_ROOT\CLSID\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khffuoec (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No se tomaron medidas.
Valor(es) del Registro infectado(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
Elemento(s) de datos del Registro infectado(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Datos: c:\windows\system32\ljjyrlbb -> No se tomaron medidas.
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Malo: ("regedit.exe" "%1") Bueno: (regedit.exe "%1") -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Datos: c:\windows\system32\ljjyrlbb -> No se tomaron medidas.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Malo: (0) Bueno: (1) -> No se tomaron medidas.
Carpeta(s) infectada(s):
(Ningún elemento malicioso detectado)
Archivo(s) infectado(s):
C:\WINDOWS\system32\ljJYRLbB.dll (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\BbLRYJjl.ini (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\BbLRYJjl.ini2 (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\khfFUOeC.dll (Trojan.Vundo) -> No se tomaron medidas.
C:\Documents and Settings\Joyal\Local Settings\Temporary Internet Files\Content.IE5\FR1H91HI\mslog[1] (Trojan.Vundo) -> No se tomaron medidas.
gracias por tu mensaje.
Aquí está el informe de MBAM:
Malwarebytes' Anti-Malware 1.31
Versión de la base de datos: 1472
Windows 5.1.2600 Service Pack 3
08/12/2008 02:57:13
mbam-log-2008-12-08 (02-57-06).txt
Tipo de búsqueda: Análisis completo (C:\|D:\|)
Elementos examinados: 111707
Tiempo transcurrido: 27 minuto(s), 30 segundo(s)
Proceso(s) de memoria infectado(s): 0
Módulo(s) de memoria infectado(s): 2
Clave(s) del Registro infectada(s): 7
Valor(es) del Registro infectado(s): 1
Elemento(s) de datos del Registro infectado(s): 4
Carpeta(s) infectada(s): 0
Archivo(s) infectado(s): 5
Proceso(s) de memoria infectado(s):
(Ningún elemento malicioso detectado)
Módulo(s) de memoria infectado(s):
C:\WINDOWS\system32\ljJYRLbB.dll (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\khfFUOeC.dll (Trojan.Vundo) -> No se tomaron medidas.
Clave(s) del Registro infectada(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1da6f1f-cf58-4d8f-84a4-f6bd7208e466} (Trojan.Vundo.H) -> No se tomaron medidas.
HKEY_CLASSES_ROOT\CLSID\{a1da6f1f-cf58-4d8f-84a4-f6bd7208e466} (Trojan.Vundo.H) -> No se tomaron medidas.
HKEY_CLASSES_ROOT\CLSID\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khffuoec (Trojan.Vundo) -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No se tomaron medidas.
Valor(es) del Registro infectado(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> No se tomaron medidas.
Elemento(s) de datos del Registro infectado(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Datos: c:\windows\system32\ljjyrlbb -> No se tomaron medidas.
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Malo: ("regedit.exe" "%1") Bueno: (regedit.exe "%1") -> No se tomaron medidas.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Datos: c:\windows\system32\ljjyrlbb -> No se tomaron medidas.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Malo: (0) Bueno: (1) -> No se tomaron medidas.
Carpeta(s) infectada(s):
(Ningún elemento malicioso detectado)
Archivo(s) infectado(s):
C:\WINDOWS\system32\ljJYRLbB.dll (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\BbLRYJjl.ini (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\BbLRYJjl.ini2 (Trojan.Vundo.H) -> No se tomaron medidas.
C:\WINDOWS\system32\khfFUOeC.dll (Trojan.Vundo) -> No se tomaron medidas.
C:\Documents and Settings\Joyal\Local Settings\Temporary Internet Files\Content.IE5\FR1H91HI\mslog[1] (Trojan.Vundo) -> No se tomaron medidas.
Por otro lado, no logro descargar ZHPDiag y no encuentro ninguna otra fuente que el sitio de Zebulon, que evidentemente tiene un problema.
Intentaré de nuevo mañana.
Gracias de nuevo a ustedes dos.
Intentaré de nuevo mañana.
Gracias de nuevo a ustedes dos.
Hola,
por el momento, estamos limitados a Vundo.
¿Has puesto en cuarentena o has borrado después del informe?
Estoy editando.
El enlace parece funcionar.
Lo veremos mañana.
Si no, hay otras herramientas;
--
@+
Hagan lo que se les pide, ni más, ni menos.
No creen duplicados, ni en CCM ni en ningún otro sitio. Gracias
por el momento, estamos limitados a Vundo.
¿Has puesto en cuarentena o has borrado después del informe?
Estoy editando.
El enlace parece funcionar.
Lo veremos mañana.
Si no, hay otras herramientas;
--
@+
Hagan lo que se les pide, ni más, ni menos.
No creen duplicados, ni en CCM ni en ningún otro sitio. Gracias
Buenas noches,
vuelve a ejecutar MBAM y pon en cuarentena todo lo que encuentre.
Publica el informe.
--
A+
Hagan lo que se les pide, ni más ni menos.
No creen duplicados, ni en CCM ni en otro sitio. Gracias.
vuelve a ejecutar MBAM y pon en cuarentena todo lo que encuentre.
Publica el informe.
--
A+
Hagan lo que se les pide, ni más ni menos.
No creen duplicados, ni en CCM ni en otro sitio. Gracias.
Buenas noches,
Creo que la amenaza ha desaparecido realmente.
Malwarebytes' Anti-Malware 1.31
Versión de la base de datos: 1472
Windows 5.1.2600 Service Pack 3
09/12/2008 20:41:10
mbam-log-2008-12-09 (20-41-10).txt
Tipo de búsqueda: Análisis completo (C:\|D:\|)
Elementos examinados: 107490
Tiempo transcurrido: 31 minuto(s), 5 segundo(s)
Proceso(s) de memoria infectado(s): 0
Módulo(s) de memoria infectado(s): 0
Clave(s) del Registro infectada(s): 0
Valor(es) del Registro infectado(s): 0
Elemento(s) de datos del Registro infectado(s): 0
Carpeta(s) infectada(s): 0
Archivo(s) infectado(s): 0
Proceso(s) de memoria infectado(s):
(Ningún elemento dañino detectado)
Módulo(s) de memoria infectado(s):
(Ningún elemento dañino detectado)
Clave(s) del Registro infectada(s):
(Ningún elemento dañino detectado)
Valor(es) del Registro infectado(s):
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro infectado(s):
(Ningún elemento dañino detectado)
Carpeta(s) infectada(s):
(Ningún elemento dañino detectado)
Archivo(s) infectado(s):
(Ningún elemento dañino detectado)
¡Gracias por su ayuda!
Creo que la amenaza ha desaparecido realmente.
Malwarebytes' Anti-Malware 1.31
Versión de la base de datos: 1472
Windows 5.1.2600 Service Pack 3
09/12/2008 20:41:10
mbam-log-2008-12-09 (20-41-10).txt
Tipo de búsqueda: Análisis completo (C:\|D:\|)
Elementos examinados: 107490
Tiempo transcurrido: 31 minuto(s), 5 segundo(s)
Proceso(s) de memoria infectado(s): 0
Módulo(s) de memoria infectado(s): 0
Clave(s) del Registro infectada(s): 0
Valor(es) del Registro infectado(s): 0
Elemento(s) de datos del Registro infectado(s): 0
Carpeta(s) infectada(s): 0
Archivo(s) infectado(s): 0
Proceso(s) de memoria infectado(s):
(Ningún elemento dañino detectado)
Módulo(s) de memoria infectado(s):
(Ningún elemento dañino detectado)
Clave(s) del Registro infectada(s):
(Ningún elemento dañino detectado)
Valor(es) del Registro infectado(s):
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro infectado(s):
(Ningún elemento dañino detectado)
Carpeta(s) infectada(s):
(Ningún elemento dañino detectado)
Archivo(s) infectado(s):
(Ningún elemento dañino detectado)
¡Gracias por su ayuda!