Problema con malware trojan.gsys,backdoor.bot,backdoor.agent.generic

Buenas entiendo como dije anteriormente lo analizaba el antivirus lo ponía en cuarentena pero a la hora de reiniciar (que es necesario para eliminar las amenazas)se encontraban las mismas amenazas al hacer un nuevo análisis

Hola

Realiza las siguientes acciones:

Análisis del PC con Eset Online Scaner : Manual de Uso

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

NOTAS IMPORTANTES:

  1. En Tu próxima respuesta, debes pegar ambos reportes.
  1. Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).

  2. Nos comentas como sigue el problema original por el que abriste el tema.

Saludos

Saludos y Buenas aca estan los reportes

eset scaner virus resultados.txt (356 Bytes) ese es el eset scaner

Y aqui el Kaspersky Virus Removal Tool!

Kaspersky%20Virus%20Removal%20Tool%20resultados|656x373

Buenas hay algo para decir ya despues de los reportes realize otros analizis en Kasperky Virus Removal tool no encontra nada ahora despues del reinicio y eset online scaner no encontro virus ni infecciones despues del reinicio de todos modos Nesecito sugerencias para estar seguro Y MUCHAS GRACIAS POR SU AYUDA pero malwarebytes aun los detecta

buenas para saber sobre los resultados de los análisis y que tendría que hacer al respecto porque todo esto lo he enviado desde modo seguro en windows y Disculpen las molestias

Hola

Descargá la herramienta Delfix a Tu escritorio.

Ejecutala, Tildá la casilla Remove disinfection tools y presioná Run

Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Desactiva temporalmente tu antivirus y cualquier programa de seguridad que tengas en funciones.

Descarga Farbar Recovery Scan Tool en el escritorio de Tu PC. Selecciona la versión adecuada para la arquitectura (32 o 64bits) de tu equipo.

Como saber si Mi Windows es de 32 0 64 Bits`

  • Ejecuta FRST.exe
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

En Tu próxima respuesta, debes pegar los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Guía: Como Pegar reportes en el Foro

Saludos

aca esta el FRST.txt

FRST.txt (40,2 KB)

y aqui el Addition.txt

Addition.txt (21,8 KB)

Hola

Abrí un nuevo archivo Notepad y copia y pega este contenido:

Start
CreateRestorePoint:
CloseProcesses
C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE
HKLM\...\RunOnce: [GrpConv] => grpconv -o
HKLM\...\RunOnce: [{997FC6B4-B63A-497C-A6D4-A8136CE68D95}] => C:\Users\Chirstopher\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd [294 2019-01-30] () <==== ATTENTION
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe, [x ] ()
2019-01-30 18:18 - 2019-01-30 18:18 - 000000000 _____ C:\Windows\system32\Drivers\OLD934F.tmp
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onTime.job
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onLogOn.job
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH C:\Users\Chirstopher\AppData\Local\stsys.exe
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2019-01-29 19:08 - 2019-01-29 19:08 - 000211788 __RSH () C:\Users\Chirstopher\AppData\Roaming\mrsys.exe
2019-01-23 19:44 - 2019-01-29 19:57 - 000003390 _____ () C:\Users\Chirstopher\AppData\Local\icsys.icn
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH () C:\Users\Chirstopher\AppData\Local\stsys.exe
C:\Users\CHIRST~1\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Saludos

aqui esta el Fixlog.txt

Fixlog.txt (6,8 KB)

Y Muchas gracias por su ayuda

Hola

Reinicia el sistema y hace un nuevo análisis con Malwarebytes.

Volves con el nuevo reporte y Nos comentas como sigue …

Saludos

aca esta el nuevo reporte

Reporte de Malwarebytes-virus.txt (1,6 KB)

Segun lo que vi el Trojan.gsys y otro backdoor se eliminaron queda uno el backdoor.Bot del C:\WINDOWS\SYSTEM\EXPLORER.EXE que era el otro que no puedo eliminar despues de la cuarentena

de todos modos escucho sus Sugerencias y De Verdad Muchas Gracias Me siento Feliz de conocer este foro y ser Parte de el Gracias :grin:

Hola

Ejecutá un análisis con Dr. Web Cure It siguiendo Su Manual

Volves con el reporte generado y Nos comentas como sigue el problema

Saludos

Buenas Saludos aca esta el reporte de dr.web cure lt

dr.cureit REPORTE.txt (454 Bytes)

segun lo visto fue por el .EXE de ultraISO que tenia de todos modos estare pendiente a sus respuestas

Hola

Vamos muy bien.

Ahora, necesito que elimines del escritorio los reportes Frst.txt, Addition.txt y Fixlog.txt para no crear confusiones.

Vas a ejecutar nuevamente FRST tal como lo hiciste la primera vez y luego vas a pegar los nuevos reportes en Tu próxima respuesta.

Saludos

Saludos aca esta el Nuevo FRST.txt

FRST.txt (37,7 KB)

y aqui el nuevo Addition.txt

Addition.txt (22,5 KB)

PD: el Fixlog.txt hay que realizarlo nuevamente? si es asi me tardare un poco para el resultado de este

Hola

Abrí un nuevo archivo Notepad y copia y pega este contenido:

Start
CreateRestorePoint:
CloseProcesses
CHR Extension: (Deadpool) - C:\Users\Chirstopher\AppData\Local\Google\Chrome\User Data\Default\Extensions\mihiehkcaajaipjpoeeolnnacomapnng [2019-01-24]
HKLM\SYSTEM\CurrentControlSet\Services\4583E9F09559D594 <==== ATTENTION (Rootkit!)
C:\WINDOWS\SYSTEM\EXPLORER.EXE
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

Reinicia el ordenador en Modo Seguro

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Saludos

ok pero una pregunta como dice el note restore point en el Frst decia error en restore point porque el primer Fixlog lo hice en modo normal porque no me dejaba en modo Seguro marcaba error en en partes de la informacion de la misma Y SALUDOS

Hola

No hay problemas con eso. Si no podes en Modo Seguro, hacelo en Modo Normal.

Saludos

aqui esta el Fix log

Fixlog.txt (4,8 KB)

Hola

Restaría ahora un nuevo análisis con Malwarebytes para comprobar el estado del problema.

Espero Tu respuesta