Virus Imposible de matar??? Ayuda

[Capitanazo]

Ayer navegando entré en una página que había visitado otras veces -en principio de fiar- y me saltó una descarga automática. Al instante comenzaron a cerrarse todas las ventanas que tenía abiertas -explorer, el word, todo- y el ordenador se reinició.



Cuando volvió, le pasé AVIRA GRATUITO (encontró algo y lo eliminó) y pude recuperar todo lo perdido...



Pero hoy al encender el ordenador, y tras la pantalla de presentación y el logo de Windows, SE QUEDA BLOQUEADO EN UNA PANTALLA EN NEGRO cuando deberia aparecer el escritorio.



He reiniciado en modo a prueba de fallos, he pasado el RKILL, seguidamente el MALWARE BYTES en escaneo rápido (ha detectado como 5 virus y los he eliminado) y finalmente le he pasado el cccleaner.



Pero al reiniciar, seguia el mismo problema... PANTALLA EN NEGRO en lugar del escritorio.



He vuelto a modo a prueba de fallos, he vuelto a pasar el RKILL, luego el MALWAREBYTES otra vez y esta vez en ESCANEO COMPLETO y ha vuelto a encontrar nada menos que 12 virus. Los he borrado.



Le he pasado el AVIRA y no ha encontrado NADA!!!



Entonces le he vuelto a pasar el MALWAREBYTES en escaneo rapido y ha vuelto a encontrar UNO.







He vuelto a reiniciar, y EL MISMO PROBLEMA: Sigue la pantalla en negro.





Ahora mismo estoy en modo a prueba de fallos escribiendoos esto. He pasado el RKILL una vez más y esto es lo que me dice:


[quote]Rkill was run on 11/02/2012 at 7:02:52.

Operating System: Windows 7 Ultimate



Processes terminated by Rkill or while it was running:

C:\Windows\SysWOW64\rundll32.exe



Rkill completed on 11/02/2012 at 7:02:54.[/quote]

De manera que he ido a esa carpeta y he intentado eliminar ese rundll32.ex, PERO NO ME DEJA, me dice: [i]Se requieren permisos de TRUSTEDINSTALLER para hacer cambios en esta aplicacion[/i]



No sé que tengo que hacer... NO SÉ COMO MATAR A ESTE PARÁSITO... ::Help:: Trabajo en casa en el ordenador y necesito arreglarlo

[msc hotline sat]

Otra vez que elimines virus, apuntate cuales son, para poderte ayudar mejor...



Ahora tenemos que ir a ciegas, imagino que puede ser un FAKE TOOLS que te han eliminado las utilidades que has pasado, pero que no te han restaurado los atributos de los ficheros y carpetas ocultados.



Arranca en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y lanza este comando:



ATTRIB C:\*.* -H /S /D <ENTER>





Luego lanza el ELISTARA, por si hubieran claves víricas aun por eliminar:


[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]

saludos



ms, 11-2-2012

[Capitanazo]

Miles de gracias. Probando y probando antes de recibir tu respuesta he reiniciado y me ha salido la opción de "reparar problemas de inicio de windows" y le ha dado para probar que pasaba.



Tengo otra vez WINDOWS.



Pero no me fio. ME HA DESAPARECIDO EL AVIRA!!! ¿Es posible que el virus lo haya desinstalado?? No me lo puedo creer. :shock:



Me lo estoy descargando otra vez. ¿Creeis que es un antivirus recomendable, o hay algun otro mejor?



Ahora mismo estoy pasando el ELISTART al ordenador. Tengo miedo de que haya por ahi restos y me vuelva a pasar lo mismo...



¿Como puede asegurarme de que ha quedado limpio?

[msc hotline sat]

Sí, hay algunos malwares que dañan a los antivirus, y debes desinstalarlo y volverlo a instalar.



Y tras pasar el ELISTARA, posteanos con un copiar y pegar el contenido de c:\infosat.txt , a ver que dice.



saludos



ms, 12-2-2012

[Capitanazo]

Cada vez que enciendo el ordenador, me ha desaparecido el AVAST. Sin duda sigo teniendo una infeccion...



He hecho una nueva limpieza con el MALWAREBYTES. Este es el registro de la ultima limpieza.



--------------------------------------------------------------

Malwarebytes Anti-Malware 1.60.1.1000



Versión de la Base de Datos: v2012.02.12.02



Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421





12/02/2012 18:12:30

mbam-log-2012-02-12 (18-12-30).txt



Tipos de Análisis: Análisis Completo

Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM

Opciones de análisis desactivados: P2P

Objetos examinados: 534592

Tiempo transcurrido: 1 hora(s), 3 minuto(s), 56 segundo(s)



Procesos en Memoria Detectados: 0

(No se han detectado elementos maliciosos)



Módulos de Memoria Detectados: 0

(No se han detectado elementos maliciosos)



Claves del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Valores del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Carpetas Detectadas: 0

(No se han detectado elementos maliciosos)



Archivos Detectados: 3

C:\Users\CHEMA\Documents\Downloads\Adobe Premiere Pro CS5.5 (64 Bit)\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\Users\CHEMA\Documents\Downloads\Adobe Premiere Pro CS5.5 (64 Bit)\keygen.exe (Trojan.Agent.CK) -> En cuarentena y eliminado con éxito.



----------------------------------------------------------------------





Y este es el registro de ELISTARA:







(11-2-2012 12:09:51 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKUS) "{ecdee021-0d17-467f-a1ff-c7a115230949}"] -> C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL

Key Eliminada [URLSearchHook (HKLM) "{ecdee021-0d17-467f-a1ff-c7a115230949}"] -> C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\GENERICASKTOOLBAR.DLL.Muestra EliStartPage v24.85

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado

C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{ecdee021-0d17-467f-a1ff-c7a115230949}" -> C:\Program Files (x86)\free-downloads.net\tbfree.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-2-2012 12:58:27 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKUS) "{ecdee021-0d17-467f-a1ff-c7a115230949}"] -> C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL

Key Eliminada [URLSearchHook (HKLM) "{ecdee021-0d17-467f-a1ff-c7a115230949}"] -> C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\GENERICASKTOOLBAR.DLL.Muestra EliStartPage v24.85

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado

C:\PROGRAM FILES (X86)\FREE-DOWNLOADS.NET\TBFREE.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{ecdee021-0d17-467f-a1ff-c7a115230949}" -> C:\Program Files (x86)\free-downloads.net\tbfree.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-2-2012 13:09:08 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\CHEMA\Desktop\Urgente\CW09.EXE --> Eliminado, HackTool.Chew-WGA

C:\Users\CHEMA\Desktop\Urgente\R225.EXE --> Eliminado, HackTool.Wpakill



Nº Total de Directorios: 34471

Nº Total de Ficheros: 351658

Nº de Ficheros Analizados: 46151

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(12-2-2012 16:44:22 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-2-2012 16:46:56 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-2-2012 16:58:14 (GMT))

EliStartPage v24.85 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 34793

Nº Total de Ficheros: 349909

Nº de Ficheros Analizados: 46671

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues aparte de enviarnos el fichero que se te pide en el infosat:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\GENERICASKTOOLBAR.DLL.Muestra EliStartPage v24.85





descarga el SPROCES y tras probarlo, pulsa en SALIR y nos posteas con un copiar y pegar, el contenido del fichero resultante c:\sproclog.txt




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 13-2-2012

[Capitanazo]

Muchisimas gracias, tengo una duda:



¿Como os mando este fichero? C:\Muestras\GENERICASKTOOLBAR.DLL.Muestra EliStartPage v24.85



No puedo abrirlo para copiar y pegar, ¿quereis que os mande una copia a alguna direccion? ¿O en un mensaje privado?

[msc hotline sat]

>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 15-2-2012