Tengo los discos infectados (SOLUCIONADO)

[Salas25]

Buenas soy nuevo por el foro,espero que me podais ayudar,creo que tengo varios troyanos y virus en el pc.



El lunes tenia pensado cambiar mi SO y ordenar un poco 2 pcs con archivos para meter en un disco duro externo de 500GB,prepare todo y empece a volcar datos del principal al externo y como eran muchas gigas lo deje pasando,cuando vine al pc me salto el nod32 dicendo que habia encontrado un troyano y que si deseaba eliminar,pulse y me salieron 2 mas y los borre,despues hice varios escaneos completos del todo el sistema y me salieron algunos nuevos y otros se han mantenido,pero lo raro es que el disco duro de 500GB Externo tiene sin ocupar 100GB y al intentar meter cualquier archivo de menos gigas me salta el mensaje de windows diciendo que tengo que liberar espacio,ademas tampoco puedo ver archivos ocultos en el sistema y tambien que tengo infectado el portatil que creo que es donde ha partido todo el problema.



Espero que me podais echar una mano porque no se que hacer,no quiero perder esos archivos del disco duro externo,pero tampoco formatear aun el disco del SO porque aun me quedan archivos por meter



Salu2

[msc hotline sat]

Pues si ya tienes instalado un antivirus y has eliminado los malwares que has detectado, puede que el problema venga de restos o modificaciones que los mismos te han dejado, para lo cual cabe probar el ELISTARA, que ademas de detectar y eliminar los malwares que controla, repara y corrige claves modificadas por ellos, aunque estos ya hayan sido eliminados:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Si ello no fuera suficiente, probaríamos con este AV ONLINE, por si hubiere algo mas... :





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 3-6-2009

[Salas25]

Hola gracias por la respuesta,tengo instalados el nod32 y ad-aware pro ambos me eliminaron algunos pero creo recordar que alguno lo mando a cuarentena,si hace falta lo puedo mirar tambien por si la informacion es interesante.



He echo lo que me has indicado y esto es lo pone en el archivo de texto analizando la en unidad c donde tengo el SO.



Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-6-2009 06:18:07)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\10 MICROSOFT INTERNET EXPLORER NIVEL BASICO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\11 MICROSFT INTERNET EXPLORER NIVEL AVANZADO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\2 MICROSOFT EXCEL NIVEL BáSICO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\3 MICROSOFT EXCEL NIVEL AVANZADO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\4 MICROSOFT WORD NIVEL BASICO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\5 MICROSOFT WORD NIVEL AVANZADO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\6 MICROSOFT POWER POINT NIVEL BASICO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\7 MICROSOFT POWER POINT NIVEL AVANZADO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\8 MICROSOFT OUTLOOK NIVEAL BASICO.PART1.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Nueva carpetaOOO\9 MICROSOFT OUTLOOK NIVEL AVANZADO.PART1.EXE --> Eliminado, Frauder.KG



Nº Total de Directorios: 7817

Nº Total de Ficheros: 78110

Nº de Ficheros Analizados: 29538

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 11

[msc hotline sat]

Pues buena faena ha hecho el ELISTARA..., y ademas parece detectar falta del SP3, comprueba si lo tienes instalado, y si no, lanza un windowsupdate e instala los pendientes.



Y tras reiniciar, si persiste alguna anomalia, lanza el AV ONLINE indicado y posteanos el informe resultante, gracias



saludos



ms, 3-6-2009

[Salas25]

Buenas pues si lo unico que no entiendo es porque me detecto los cursos que tenia del office como virus,bueno dejando eso aparte he metido el SP3 y realizado el escaneo tambien del disco externo de 500gb con el ELISTAR y me ha salido esto



(3-6-2009 09:03:52)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (L)

open=q9.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(3-6-2009 09:04:36)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "L:\"

L:\System Volume Information\_restore{10E442A1-A6CB-4E90-9D13-31E0A21CB6C7}\RP116\A0033049.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 819

Nº Total de Ficheros: 11204

Nº de Ficheros Analizados: 2939

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Despues hice un escaneo completo con Nod32 actualizado las unidades son C: principal D:secundaria L: Externa 500GB



[img]http://img26.imageshack.us/img26/5412/nod32o.jpg[/img]





Despues he analizado con el Kapersky online como me indicaste un escaneo completo del pc y me han salido estos 5 C: es la unidad de mi SO y L mi disco externo de 500GB



Thursday, June 4, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, June 03, 2009 18:13:50

Records in database: 2302406

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

J:\

K:\

L:\

Scan statistics

Files scanned 96608

Threat name 4

Infected objects 5

Suspicious objects 0

Duration of the scan 07:34:23



File name Threat name Threats count

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Windows XP Profesional SP3 - Tema win 7\El Programita.rar Infected: not-a-virus:PSWTool.Win32.RAS.g 1

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Windows XP Profesional SP3 - Tema win 7\El Programita.rar Infected: not-a-virus:PSWTool.Win32.RAS.a 1

L:\ARCHIVOS Y PROGRAMAS\S.O\G1s_Edition.iso Infected: not-a-virus:PSWTool.Win32.AirCrack.a 1

L:\ARCHIVOS Y PROGRAMAS\ITALIANO\AuctionWare Auction Management System for eBay Sellers v3.5.K3Y-M[ei]K_3R-JANOSiK.zip Infected: Trojan-Dropper.Win32.KGen.gen 1

L:\ARCHIVOS Y PROGRAMAS\EBAY\WebTalk Pro for eBay v3.3.2.WinAll.C_[ReC]_K-FASDOX.zip Infected: Trojan-Dropper.Win32.KGen.gen 1

The selected area was scanned.



Todo lo que he puesto ha sido por orden,los archivos del nod32 tengo la posibilidad de eliminarlos de cuarentena y los analizados por kapersky online aun tengo abierto el escaneo a esperas de que hacer,perdona las molestias que te estoy causando.



Salu2

[msc hotline sat]

Pues para los del System Volume Information_RESTORE, debes desactivar la restauracion de sistema y arrancando en modo seguro, tu antivirus los podrá eliminar.





Y envianos el L:\Q9.cmd que debes dener en un pendrive, para lo que quizas necesitaras moverlo primero a C:\muestras con el ELIMOVER:



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



Y vacunalo con el ELIPEN, con lo que ya no propagará el virus.



Debe ser un ONLINE GAMES, de los que controlamos cientos por no decir miles, pero si este no lo ha detectado el ELISTARA, lo analizaremos y pasaremos a controlar



Aparte, estos del AV ONLINE:



C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Windows XP Profesional SP3 - Tema win 7\El Programita.rar Infected: not-a-virus:PSWTool.Win32.RAS.g 1 , [b][u]es un .RAR, eliminalo[/u][/b]

C:\Documents and Settings\Pitufina\Escritorio\Nueva carpeta (5)\Windows XP Profesional SP3 - Tema win 7\El Programita.rar Infected: not-a-virus:PSWTool.Win32.RAS.a 1 [b][u]es un .RAR, eliminalo[/u][/b]

L:\ARCHIVOS Y PROGRAMAS\S.O\G1s_Edition.iso Infected: not-a-virus:PSWTool.Win32.AirCrack.a 1 [b][u]es un .ISO, eliminalo[/u][/b]

L:\ARCHIVOS Y PROGRAMAS\ITALIANO\AuctionWare Auction Management System for eBay Sellers v3.5.K3Y-M[ei]K_3R-JANOSiK.zip Infected: Trojan-Dropper.Win32.KGen.gen 1 [b][u]es un .ZIP, eliminalo[/u][/b]

L:\ARCHIVOS Y PROGRAMAS\EBAY\WebTalk Pro for eBay v3.3.2.WinAll.C_[ReC]_K-FASDOX.zip Infected: Trojan-Dropper.Win32.KGen.gen 1 [b][u]es un .ZIP, eliminalo[/u][/b]



Si los quieres conservar, recuerda que contienen malwares, pero mientras no los desempaquetes y los ejecutes, no pasa nada.



Así que haciendo lo indicado ya debe quedar todo solucionado, luego reinicias y nos indicas si persiste alguna anomalia, gracias



saludos



ms, 4-6-2009

[Salas25]

Buenas noches acabo terminar de eliminar y borrar todo lo que me has indicado y perfecto,el archivo q9.cmd le di a restaurar ya que estaba en cuarentena pero no aparecia por ningun sitio,al escanear de nuevo como lo restaure si lo detectaba otra vez el nod32 y lo he eliminado definitivamnete no ha quedado ni rastro,muchas gracias por vuestra ayuda





Salu2 :D

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 5-6-2009