Hola, esta mañana después de actualizar el KIS decidí hacer un análisis rápido de mi PC, el KIS encontró el "Trojan.Win32.Agent.almp" en el archivo"C:/WINDOWS/system/updates.exe", cuando terminó de analizar el KIS me puso un cartel que decía que tenía que utilizar un proceso de desinfección que debía reiniciar el sistema, yo accedí y le puse que lo realizara. Cuando estaba iniciando la máquina ya no volvió a arrancar Windows, después de pasar por la barra de cargando aparece por una fracción de segundo una pantalla azul que no logro alcanzar a leer y se reinicia.
La única forma de arrancar Windows es en modo seguro, estando aquí abrí el KIS, busqué el archivo eliminado y lo restauré, reinicié la máquina pero nada.
He intentado restaurar el sistema estando en modo seguro pero las tres veces que lo he intentado no ha dado resultado, y ya no sé que más probar. Estaba trabajando bien hasta ahora.
Tengo Windows XP SP3 y KIS 8.0.0.454, no tengo ningún otro antivirus ni antispyware ni nada por el estilo.
Full Version: PC no arranca
QUOTE(U McBit @ 20.11.2008 02:21) 
Hola, esta mañana después de actualizar el KIS decidí hacer un análisis rápido de mi PC, el KIS encontró el "Trojan.Win32.Agent.almp" en el archivo"C:/WINDOWS/system/updates.exe", cuando terminó de analizar el KIS me puso un cartel que decía que tenía que utilizar un proceso de desinfección que debía reiniciar el sistema, yo accedí y le puse que lo realizara. Cuando estaba iniciando la máquina ya no volvió a arrancar Windows, después de pasar por la barra de cargando aparece por una fracción de segundo una pantalla azul que no logro alcanzar a leer y se reinicia.
La única forma de arrancar Windows es en modo seguro, estando aquí abrí el KIS, busqué el archivo eliminado y lo restauré, reinicié la máquina pero nada.
He intentado restaurar el sistema estando en modo seguro pero las tres veces que lo he intentado no ha dado resultado, y ya no sé que más probar. Estaba trabajando bien hasta ahora.
Tengo Windows XP SP3 y KIS 8.0.0.454, no tengo ningún otro antivirus ni antispyware ni nada por el estilo.
La única forma de arrancar Windows es en modo seguro, estando aquí abrí el KIS, busqué el archivo eliminado y lo restauré, reinicié la máquina pero nada.
He intentado restaurar el sistema estando en modo seguro pero las tres veces que lo he intentado no ha dado resultado, y ya no sé que más probar. Estaba trabajando bien hasta ahora.
Tengo Windows XP SP3 y KIS 8.0.0.454, no tengo ningún otro antivirus ni antispyware ni nada por el estilo.
A ver si pudieras generar un GSI (getsysteminfo) y un AVZlog (ver normas del foro para generarlos) de tu sistema y nos los subes, para revisarlos: http://forum.kaspersky.com/index.php?showtopic=84034
En Modo, has realizado un chequeo del sistema con toas las opciones al máximo de seguridad? como Heurística y búsqueda de procesos ocultos? De qué modo has intentado restaurar el sistema en Modo seguro? con la opción de Restaurar un punto del sistema anterior?.
Otra opción que puedes probar es a hacer una recuperación del sistema desde la consola, pera ellos necesitas el CD de instalación de XP, reinicias el sistema desde él y en la primera pantalla elegimos recuperar el sistema ®, una vez en la consola de recuperación (similar al modo MSDOS de siempre), tecleamos chkdsk /r [ENTER] y esperamos a que termine y reiniciamos.
También puedes probar a teclear en Inicio -> Ejecutar -> Sfc /Scannow [ENTER] teniendo el CD de XP de instalación, lo que hará un chequeo de los archivos de Windows.
Saludos.
Enviame por mensaje privado, el fichero C:/WINDOWS/system/updates.exe , comprimido con winrar y con contraseña "infected" sin las comillas.
Postea tambien tu getsysteminfo, y tu avz log para revisarlos (como hacerlo lo tienes indicado en el hilo de las normas, tienes un enlace directo en mi firma).
Por casualidad empleas el programa Flashget?
Saludos
Postea tambien tu getsysteminfo, y tu avz log para revisarlos (como hacerlo lo tienes indicado en el hilo de las normas, tienes un enlace directo en mi firma).
Por casualidad empleas el programa Flashget?
Saludos
(harlan4096 @ 20.11.2008 00:15)
A ver si pudieras generar un GSI (getsysteminfo) y un AVZlog (ver normas del foro para generarlos) de tu sistema y nos los subes, para revisarlos: http://forum.kaspersky.com/index.php?showtopic=84034
En Modo, has realizado un chequeo del sistema con toas las opciones al máximo de seguridad? como Heurística y búsqueda de procesos ocultos? De qué modo has intentado restaurar el sistema en Modo seguro? con la opción de Restaurar un punto del sistema anterior?.
Otra opción que puedes probar es a hacer una recuperación del sistema desde la consola, pera ellos necesitas el CD de instalación de XP, reinicias el sistema desde él y en la primera pantalla elegimos recuperar el sistema ®, una vez en la consola de recuperación (similar al modo MSDOS de siempre), tecleamos chkdsk /r [ENTER] y esperamos a que termine y reiniciamos.
También puedes probar a teclear en Inicio -> Ejecutar -> Sfc /Scannow [ENTER] teniendo el CD de XP de instalación, lo que hará un chequeo de los archivos de Windows.
Saludos.
En Modo, has realizado un chequeo del sistema con toas las opciones al máximo de seguridad? como Heurística y búsqueda de procesos ocultos? De qué modo has intentado restaurar el sistema en Modo seguro? con la opción de Restaurar un punto del sistema anterior?.
Otra opción que puedes probar es a hacer una recuperación del sistema desde la consola, pera ellos necesitas el CD de instalación de XP, reinicias el sistema desde él y en la primera pantalla elegimos recuperar el sistema ®, una vez en la consola de recuperación (similar al modo MSDOS de siempre), tecleamos chkdsk /r [ENTER] y esperamos a que termine y reiniciamos.
También puedes probar a teclear en Inicio -> Ejecutar -> Sfc /Scannow [ENTER] teniendo el CD de XP de instalación, lo que hará un chequeo de los archivos de Windows.
Saludos.
Hola, todo lo que he hecho lo he hecho desde Modo seguro es la única forma de poder cargar Windows, ya realizé el chequeo y encontró dos infecciones más del mismo troyano en la zona de restauración del sistema en "C:\System Volume Information" después de eliminarlos intenté realizar la restauración del sistema a una fecha anterior pero ninguna de las tres veces que lo hice funcionó.
Este es my GSI http://gsi.kaspersky.fr/lire.php?hl=es&...amp;Microsoft=0
El AVZ está adjunto.
(Caos @ 20.11.2008 00:34)
Enviame por mensaje privado, el fichero C:/WINDOWS/system/updates.exe , comprimido con winrar y con contraseña "infected" sin las comillas.
Postea tambien tu getsysteminfo, y tu avz log para revisarlos (como hacerlo lo tienes indicado en el hilo de las normas, tienes un enlace directo en mi firma).
Por casualidad empleas el programa Flashget?
Saludos
Postea tambien tu getsysteminfo, y tu avz log para revisarlos (como hacerlo lo tienes indicado en el hilo de las normas, tienes un enlace directo en mi firma).
Por casualidad empleas el programa Flashget?
Saludos
Enseguida te envío el MP.
Sí, sí utilizo el FlashGet, acaso ese es el culpable?
Al eliminar fichero del system restore se habrá quedado la utilidad tocada.
Desactiva la restauración, reinicia y vuelve a activarla. Perderás los puntos de restauración y ahora se crearán bien.
P.D. Tienes un montón de programas en el autorun, son necesarios??
Desactiva la restauración, reinicia y vuelve a activarla. Perderás los puntos de restauración y ahora se crearán bien.
P.D. Tienes un montón de programas en el autorun, son necesarios??
Sip, es un avz log que anda que no tiene cosas 
El fichero que me has enviado desde luego es un regalito de los buenos, y sospecho que te ha entrado por el flashget, te recomiendo que desinstales ese gestor de descargas para curarte en salud.
Saludos
El fichero que me has enviado desde luego es un regalito de los buenos, y sospecho que te ha entrado por el flashget, te recomiendo que desinstales ese gestor de descargas para curarte en salud.
Saludos
Confirmado el regalito, no es un falso positivo, sino un bonito regalito.
Para una mayor seguridad, puedes ejecutar el Combofix y lo revisamos:
Descargalo de aquí -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Antes de guardarlo, por favor cambia el nombre a algo como 123.exe para dificultar que el malware pueda inhabilitarlo.
Ahora, asegúrese por favor, de que no se están ejecutando otros programas, cierre todas las ventanas y pausa a Kaspersky (Elija la opción "reanudar
manualmente" si todavía esta activo) hasta después del escaneo y de que el proceso de eliminación se haya llevado a cabo.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración.
Una vez que el proceso de exploración ha comenzado por favor NO haga clic en la ventan del combofix y no intente utilizar el equipo, esto puede causar
problemas. Le puede tomar bastante tiempo completar la exploración, esto es normal.
Usted será desconectado de la Internet y sus iconos de escritorio / barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y se restablecerse después de la exploración haya terminado.
Combofix creará un archivo de log y lo mostrarae después de que su equipo se ha reiniciado. Por lo general, esta situado en c: \ combofix.txt, por favor,
adjuntar a su próximo post. También, por favor no se olvide de reanudar la proteccion de Kaspersky, ya que esta pausado.
Para una mayor seguridad, puedes ejecutar el Combofix y lo revisamos:
Descargalo de aquí -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Antes de guardarlo, por favor cambia el nombre a algo como 123.exe para dificultar que el malware pueda inhabilitarlo.
Ahora, asegúrese por favor, de que no se están ejecutando otros programas, cierre todas las ventanas y pausa a Kaspersky (Elija la opción "reanudar
manualmente" si todavía esta activo) hasta después del escaneo y de que el proceso de eliminación se haya llevado a cabo.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración.
Una vez que el proceso de exploración ha comenzado por favor NO haga clic en la ventan del combofix y no intente utilizar el equipo, esto puede causar
problemas. Le puede tomar bastante tiempo completar la exploración, esto es normal.
Usted será desconectado de la Internet y sus iconos de escritorio / barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y se restablecerse después de la exploración haya terminado.
Combofix creará un archivo de log y lo mostrarae después de que su equipo se ha reiniciado. Por lo general, esta situado en c: \ combofix.txt, por favor,
adjuntar a su próximo post. También, por favor no se olvide de reanudar la proteccion de Kaspersky, ya que esta pausado.
En cuanto al flashget, leete esta noticia:
http://www.viruslist.com/en/weblog?weblogid=208187496
Saludos
http://www.viruslist.com/en/weblog?weblogid=208187496
Saludos
Ya eliminé los archivos de restauración, pasé el ComoboFix, desinstalé el FlashGet (todo desde Modo seguro) y nada de nada.
Adjunto el reporte del ComboFix.
Adjunto el reporte del ComboFix.
(harlan4096 @ 20.11.2008 00:15)
Otra opción que puedes probar es a hacer una recuperación del sistema desde la consola, pera ellos necesitas el CD de instalación de XP, reinicias el sistema desde él y en la primera pantalla elegimos recuperar el sistema ®, una vez en la consola de recuperación (similar al modo MSDOS de siempre), tecleamos chkdsk /r [ENTER] y esperamos a que termine y reiniciamos.
También puedes probar a teclear en Inicio -> Ejecutar -> Sfc /Scannow [ENTER] teniendo el CD de XP de instalación, lo que hará un chequeo de los archivos de Windows.
Saludos.
También puedes probar a teclear en Inicio -> Ejecutar -> Sfc /Scannow [ENTER] teniendo el CD de XP de instalación, lo que hará un chequeo de los archivos de Windows.
Saludos.
Ya intenté lo primero, lo de recuperar el sistema usando el chkdsk, aparentemente corrigió algunas cosas pero Windows sigue sin arrancar en modo normal.
Lo segundo cuando lo intento (en Modo seguro) me dice,
"La protección de archivos de Windows no pudo iniciar una búsqueda de archivos de sistema protegidos.
el código de error específico es 0x000006ba. [El servidor RPC no está disponible]."
Alguna otra cosa? Preferiría evitar reinstalar Windows.
QUOTE(U McBit @ 21.11.2008 03:22)
Ya intenté lo primero, lo de recuperar el sistema usando el chkdsk, aparentemente corrigió algunas cosas pero Windows sigue sin arrancar en modo normal.
Lo segundo cuando lo intento (en Modo seguro) me dice,
"La protección de archivos de Windows no pudo iniciar una búsqueda de archivos de sistema protegidos.
el código de error específico es 0x000006ba. [El servidor RPC no está disponible]."
Alguna otra cosa? Preferiría evitar reinstalar Windows.
Lo segundo cuando lo intento (en Modo seguro) me dice,
"La protección de archivos de Windows no pudo iniciar una búsqueda de archivos de sistema protegidos.
el código de error específico es 0x000006ba. [El servidor RPC no está disponible]."
Alguna otra cosa? Preferiría evitar reinstalar Windows.
Entra en modo seguro y ve a inicio ejecutar, msconfig (aceptar) en servicios deshabilita todo lo que no sea de microsoft.
En inicio desmarca todo.
Reinicia.
Envíame por mensaje privado la cuarentena del combofix C:\Qoobox\Quarantine\ o subela a un servidor de ficheros como www.rapidshare.com , envíame el enlace por mensaje privado.
Envíame también los siguientes ficheros para su revisión:
c:\windows\GPInstall.exe
c:\windows\iun6002ev.exe
c:\windows\system32\deploytk.dll
c:\windows\system32\miscfg.tmp
c:\windows\twtw.ini
Revisa si te aparecen estos ficheros, pueden estar ocultos, me los envías también:
G:\3bqqnkd.bat
G:\xlk9.com
G:\LaunchU3.exe
fuwuqi.exe
Hay que eliminar esto, en cuanto tenga todo te envio el script:
Revisa tus memorias usb, me parece que tienes alguna/s infectadas.
Saludos
Envíame también los siguientes ficheros para su revisión:
c:\windows\GPInstall.exe
c:\windows\iun6002ev.exe
c:\windows\system32\deploytk.dll
c:\windows\system32\miscfg.tmp
c:\windows\twtw.ini
Revisa si te aparecen estos ficheros, pueden estar ocultos, me los envías también:
G:\3bqqnkd.bat
G:\xlk9.com
G:\LaunchU3.exe
fuwuqi.exe
Hay que eliminar esto, en cuanto tenga todo te envio el script:
QUOTE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c1324c8-76b6-11dd-8cfe-00138fabc691}]
\Shell\AutoRun\command - G:\3bqqnkd.bat
\Shell\explore\Command - G:\3bqqnkd.bat
\Shell\open\Command - G:\3bqqnkd.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88629ac3-a0a1-11dd-8d74-00138fabc691}]
\Shell\AutoRun\command - G:\xlk9.com
\Shell\explore\Command - G:\xlk9.com
\Shell\open\Command - G:\xlk9.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d9bbb87-77c9-11dd-8cff-00138fabc691}]
\Shell\AutoRun\command - fuwuqi.exe
\Shell\Explore\Command - fuwuqi.exe
\Shell\Open\Command - fuwuqi.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2c13672-73ea-11dd-8cf3-00138fabc691}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
\Shell\AutoRun\command - G:\3bqqnkd.bat
\Shell\explore\Command - G:\3bqqnkd.bat
\Shell\open\Command - G:\3bqqnkd.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88629ac3-a0a1-11dd-8d74-00138fabc691}]
\Shell\AutoRun\command - G:\xlk9.com
\Shell\explore\Command - G:\xlk9.com
\Shell\open\Command - G:\xlk9.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d9bbb87-77c9-11dd-8cff-00138fabc691}]
\Shell\AutoRun\command - fuwuqi.exe
\Shell\Explore\Command - fuwuqi.exe
\Shell\Open\Command - fuwuqi.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2c13672-73ea-11dd-8cf3-00138fabc691}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
Revisa tus memorias usb, me parece que tienes alguna/s infectadas.
Saludos
Bueno, necesitaba la máquina trabajando así que no pude seguir perdiendo más tiempo, le di formato al HD y reinstalé Windows. Ya no vuelvo a usar el FlashGet, no sé como un programa tan sencillo pueden causar BSODs.
Gracias de todas formas, ya pueden cerrar el tema.
Saludos.
Gracias de todas formas, ya pueden cerrar el tema.
Saludos.
La necesidad manda, lo comprendo.
El problema de siempre son las vulnerabilidades de los programas, como has podido leer en la información que te postee: http://www.viruslist.com/en/weblog?weblogid=208187496 .
Saludos
El problema de siempre son las vulnerabilidades de los programas, como has podido leer en la información que te postee: http://www.viruslist.com/en/weblog?weblogid=208187496 .
Saludos
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.