Virus después incluso de haber formateado (TERMINADO)

[Sr. Sputnik]

Hola a todos,



Estoy bastante preocupado con algo que le ha ocurrido a mi portátil recientemente y os estaría muy agradecido si pudieseis ayudarme.

El caso es que pillé un virus, probablemente vía Emule, y tuve que formatear el ordenador. El virus fue implacable: nisiquiera conseguía realizar un scan antivirus de la máquina sin que ésta se bloquease completamente en pocos minutos, aunque me permitió salvaguardar todos los archivos iniciando Windows en modo seguro.



Lo que me preocupa es que tras formatear seguía infectado y, de hecho, pasé el virus al disco duro externo y al fijo de casa... aunque esta vez si pude realizar un scanner completo (con el Avira gratuito) y, supuéstamente, eliminar las amenazas. Y digo "supuéstamente" xq creo que sigo infectado. Lo sospecho porque al abrir el administrador de tareas de Windows e ir a la pestaña de procesos observo que el uso total del CPU indicado abajo es siempre superior a la suma de los usos de los procesos mostrados.



Por otro lado, utilizaba también el superantispyware cómo complemento al antivirus pero al formatear probé con el Ad-Aware. Éste detectó también varias amenazas. Tras escanear con el Ad-Aware observé que el uso del CPU indicado seguía siendo superior a la suma de los procesos pero mucho más parecido. Así que entiendo que este programa eliminó algún proceso nocivo que no se mostraba en el administrador.



Cómo sigo "mosca" con todo esto acabo de desinstalar el Avira (Lo llevaba utilizando menos de una semana cuando mi ordenador se infectó. Utilizaba el AVG, que me iba muy bien, pero aparentemente dejó de ser gratuito a principios de diciembre...) y de instalar la versión de prueba del kaspersky. He hecho un nuevo scan completo y el Kaspersky tampoco ha encontrado amenazas. Y curiosamente, el proceso correspondiente al kaspersky... tampoco aparece!! Osea que, mientras estaba realizando el scan por ejemplo, el uso del CPU estaba casi al 100% mientras que los procesos visibles sólo estaban usando el 2 o el 4%.



Supuéstamente mis ordenadores no están infectados pero lo que está claro es que algunos procesos benignos, cómo el del Kaspersky, u otros malignos, que desconozco, no aparecen en el administrador de tareas a pesar de estar consumiendo CPU.

No sé si no es nada grave pero desde luego me mosquea bastante y estoy preocupado porque creo que tengo los dos ordenadores recién formateados e infectados (aunque los antivirus digan lo contrario) y no sé hasta que punto el problema puede ser irreversible.



Muchas gracias por adelantado por vuestra ayuda y atención.



Un saludo.

[msc hotline sat]

Pues prueba el ELISTARA y nos posteas el informe resultante


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

(mejor hazlo arrancando en modo seguro)



y vacuna ordenador y pendrives con el ELIPEN (Puede que tengas un virus de los que se propagan por pendrive y te hayas reinfectado tras el formateo)



Y por si fuera un Rootkit de MBR (que de haberlos, hailos) arranca con el CD de instalacion, pulsa R para acceder a la Consola de Recuperacion y lanza un FIXMBR para corregir el sector de arranque si estuviera infectado (ello no se corrige con un simple formateo)



Tras todo ello, veremos los informes y procederemos en consecuencia



saludos



ms, 30-12-2009

[Sr. Sputnik]

Hola,



Muchas gracias por contestar con tanta celeridad. Tengo problemas para instalar el ELISTARA y el ELIPEN. No puedo hacerlo a través del enlace que me has dejado porque no me deja enviar el SMS requerido. Tampoco he conseguido lanzar el FIXMBR. No tengo un CD de instalación de Windows sino 2 CD's de recuperación del sistema para restaurar mi HP Pavilion a su estado de fábrica... quizás sea por eso.



Gracias, un saludo!

[msc hotline sat]

No debe haber problemas en descargar y probar nuestras utilidades, si acaso haz la descarga y demas arrancando en modo seguro con funciones de red, para que el posible malware no esté en uso.



Una vez descargado en una carpeta, por ejemplo en el escritorio, ejecutalo como Administrador, pulsando boton derecho sobre su icono y escogiendo dicha opcion.



Si tienes problemas con lo del SMS, sigue lo indicado al respecto:



- En caso de incidencia, exponga su problema a nuestro departamento de soporte SMS Premium. : http://www.pymsolutions.com/soporte-sms-premium.asp



saludos



ms, 6-1-2010

[Sr. Sputnik]

Hola,



Bueno, ya conseguí descargar el ELIPEN y el ELISTARA. Adjunto el informe resultante del ELISTARA.

¿Qué debo hacer con la pestaña del ELIPEN que dice "Anular ejecución AutoRun (excepto Unidades CD Rom)"?



Y con respecto al FIXMBR, ¿cómo debo proceder?



Gracias de nuevo, un saludo.

[Sr. Sputnik]

Otra pregunta por cierto, ¿se le pasa el ELISTARA también al disco duro externo?

[msc hotline sat]

Dicha casilla está marcada por defecto, dejela estar como está, asi anulará la autoejecucion de los fatidicos AUTORUN.INF que no estén en CD o DVD



y sobre como proceder con el FIXMBR, se idicaba bien claro:


[quote="msc"]
arranca con el CD de instalacion, pulsa R para acceder a la Consola de Recuperacion y lanza un FIXMBR para corregir el sector de arranque si estuviera infectado
[/quote]

y los informes, a menos que no quepan por su longitud, se copian con un COPIAR Y PEGAR DE SU CONTENIDO en el post de respuesta al mismo Tema:




[quote] (7-1-2010 12:35:38 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-1-2010 12:36:07 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\Arturo\Documents\Arquitectura\5º\URBANISMO\Plan General de Zarautz\PTP y PTS\PTS Margenes de arroyos y rios\TODO.EXE --> Eliminado, LowZones(dr)



Nº Total de Directorios: 25454

Nº Total de Ficheros: 187306

Nº de Ficheros Analizados: 57042

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Con lo que se ve que no encontró nada sospechoso que le pidieramos envio de fichero para analizar, y solo un dropper LowZones que ya se eliminó.



Y lo que pregunta sobre si se pasa el ELISTARA a un disco externio, claro, igual que a un pendrive o a una unidad de disquete, para ello se selecciona otra unidad y se lanza una exploracion en la misma.



saludos



ms, 7-1-2010

[Sr. Sputnik]

También dejé claro en mi segundo mensaje cual era mi problema para lanzar un FIXMBR: NO tengo un CD de instalación. Tengo 2 DVD's de recuperación del sistema de HP que devuelven el ordenador a su estado de fábrica. No veo la posibilidad de acceder a la consola de recuperación al iniciar con estos DVD's por ningún lado...



Acabo de intentar arrancar el portátil con un viejo CD de instalación de Window XP y se me ha bloqueado el ordenador antes de que cargase todos los archivos necesarios para iniciar la instalación. Me ha aparecido la típica pantalla azul diciendo que Windows ha detectado un problema y ha parado toda actividad para evitar daños mayores... ¿Qué opinas?



Un saludo

[msc hotline sat]

Si dices tener este [b][i]"Acabo de intentar arrancar el portátil con un viejo CD de instalación de Window XP"[/i][/b], te vale para lanzar un FIXMBR, pruebalo.



Si dices que no te arranca del todo, o es problema del CD o de la lectora, o demás hardware..., pero nada que ver con el software del disco duro, pero es posible que sí puedas llegar a la consola y desde alli lanzar el FIXMBR



Y nos cuentas tus progresos al respecto, gracias



saludos



ms, 8-1-2010

[Sr. Sputnik]

Me ocurre lo que te he contado. Lo acabo de intentar de nuevo con el CD de XP y me ha vuelto a pasar: antes de que se carguen los primeros archivos antes de poder elegir cualquier opción se bloquea la instalación y aparece la famosa pantalla azul alertándome sobre la posibilidad de que exista algún virus y para decirme que windows ha detectado un problema y el ordenador ha dejado de funcionar para evitar males mayores...



Un saludo

[julibaga]

Debes conseguir arrancar desde un CD como te indicó [color=#800000]msc hotline sat[/color]. Probablemente ese "viejo disco de xp" está dañado, rayado o sucio. Si no tienes las "herramientas" para hacerlo, no es fácil poder ayudarte y la única solución que veo es que o alguien te preste uno o que la lleves a un servicio técnico.



Por otro lado y como información, el AVG sigue siendo gratuito, simplemente se cambió de la versión 8.5 a la 9 a partir del 1 de Diciembre, por lo que lo puedes bajar del mismo sitio. http://free.avg.com

[msc hotline sat]

Y asegurate de tener el SETUP configurado para que te arranque prioritariamente desde CD, no sea que esté intentando arrancar desde disco duro...



saludos



ms, 8-1-2010

[Sr. Sputnik]

Sí, efectivamente sigue siendo gratuito. Según lo vi el otro día lo volví a instalar. Pero en diciembre empezaron a notificar no se qué de que había que actualizarlo antes de tal fecha y los días que intenté actualizarlo no vi la nueva versión gratuita por ningún lado haciendo exactamente lo mismo que el otro día. Me imagino que con eso consiguieron que más de un despistado picase y comprase la versión de pago...



No hay ningún problema con el SETUP. Cómo ya te he indicado el ordenador se bloquea una vez el CD de instalación empieza a cargar todos los archivos necesarios para la instalación. Así que intentaré hacerme con otro CD de instalación de Windows para poder lanzar un FIXMBR de una vez por todas y comentaros los resultados.



Gracias por vuestra ayuda, un saludo.

[msc hotline sat]

Lo del SETUP lo decía porque muchas veces pensamos que estamos arrancando de CD, por tenerlo insertado, y realmente está arrancando de disco duro, o eso intenta...



Y si con otro CD te hace lo mismo, piensa en el hard... lectora y demas.



Esperamos nos cuentes tus progresos al respecto



saludos



ms, 8-1-2010

[Sr. Sputnik]

Bueno, me temo que tengo malas noticias. Cómo he tenido por casualidad otro portátil hoy entre mis manos (un HP con Windows XP) se me ha ocurrido meter el CD de instalación que tengo. Y resulta que no ha habido ningún problema. Me ha leído el CD sin ningún problema y he llegado a la pantalla desde la cual se accede a la consola de recuperación. Ya que por fin había llegado hasta allí he pulsado R para ver como se lanzaba el famoso FIXMBR pero me ha dicho algo así cómo que no reconocía ninguna unidad de disco creo recordar y en cualquier caso no me ha ofrecido ninguna opción para lanzar un FIXMBR... quizás es xq es un portátil Hp que se formatea con los discos de recuperación del sistema que tú mismo creas cuando compras el ordenador. Eso ya no lo sé pero de momento es otra historia... Os cuento esto último simplemente porque me temo que me puede pasar algo parecido con mi propio ordenador si consiguiese llegar hasta allí...



El caso es que, cómo comenté en el primer mensaje, en su momento también infecté el ordenador fijo de casa a través de un disco duro externo. Os adjunto, por cierto, el informe del ELISTARA para éste:



(7-1-2010 22:51:10 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-1-2010 22:51:24 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Windows.old\Users\iparraguirre\AppData\Local\Temp\NERO1003370\TOOLBAR.EXE --> Eliminado, ASKToolbar(dr)

C:\Windows.old\Windows\System32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)



Nº Total de Directorios: 41662

Nº Total de Ficheros: 226874

Nº de Ficheros Analizados: 49693

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Y acabo de probar arrancar también el fijo con el mismo CD de instalación con la desagradable noticia de que me ocurre exactamente lo mismo que en el portátil. No sé si tiene algo que ver que sea un CD de Windows XP y estos dos ordenadores, supuestamente infectados, utilicen VISTA pero ésto es lo que ocurre...

Os adjunto una foto de la pantalla que me aparece siempre que intento iniciar con el dichoso CD de instalación por si os puede ayudar.



Gracias de nuevo, un saludo

[msc hotline sat]

Pues vemos que en el otro tenías un buen bicho:



C:\Windows.old\Windows\System32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)



No sé si infectaste el otro con lo mismo, pero lo peor es que dices que trabajas con VISTA, al que no damos soporte...



De momento olvida lo del FIXMBR, vamos a corregirlo si hace falta, de otra manera.



Lanza una comprobación de errores y una desfragmentacion, tu sabrás con VISTAsi se hace igual que con XP ... tras desfragmentar reinicia y prueba la ultima version del ELISTARA pero lo ejecutas como Administrador (boton derecho sobre su icono -> Ejecutar como Administrador) y nos cuentas el resultado (posteanos el nuevo infosat)



Espero que asi se corrija el MBR si hace falta, aun con VISTA !



saludos



ms, 9-1-2010

[Sr. Sputnik]

Acabo de seguir los últimos pasos que me has indicado en el fijo y en el portátil pero el ELISTARA no ha detectado nada nuevo:



FIJO:



(9-1-2010 23:51:10 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(9-1-2010 23:51:20 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 42389

Nº Total de Ficheros: 234612

Nº de Ficheros Analizados: 51443

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



PORTÁTIL:



(9-1-2010 23:59:59 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(10-1-2010 0:00:01 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 25309

Nº Total de Ficheros: 182551

Nº de Ficheros Analizados: 56317

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



El único problema que sigo teniendo es lo que explique en mi primer mensaje: el uso del CPU es siempre inferior a la suma de lo que usan los procesos visibles en el administrador de tareas. ¿Significa eso que hay algún virus?



Un saludo

[msc hotline sat]

Dado que usas VISTA no podemos reponderte, pero ya eliminado lo que conociamos, si no tienes otro problema, daremos por solucionado el Tema, y si fuera el caso, abre uno nuevo indicandono cual es, pero que no sea nada de sistema, ya que, desde el primer día, el VISTA ni verlo ! :evil:



saludos



ms, 10-1-2010