Problema con malware trojan.gsys,backdoor.bot,backdoor.agent.generic

Hola

Por favor, pega el reporte que te arroja Malwarebytes.

Saludos

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/1/19
Hora del análisis: 15:09
Archivo de registro: b1e7f4a1-24c6-11e9-862d-000000000000.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.527
Versión del paquete de actualización: 1.0.9028
Licencia: Prueba

-Información del sistema-
SO: Windows 7
CPU: x86
Sistema de archivos: NTFS
Usuario: Chirstopher-PC\Chirstopher

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 151373
Amenazas detectadas: 2
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 min, 46 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
Trojan.Gosys, C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, [4144], [199097],1.0.9028
Backdoor.Bot, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, [890], [207664],1.0.9028

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

aca esta el reporte de malwarebytes

PD:tambien vi algo ese fue el primer analizis antes de ver el backdoor.agent.generic porque estoy haciendo otro analizis en en disco C y respaldo D y aparecio otro malware es trojan.malpack.gs su ubicacion no la he pegado porque estoy esperando a que termine el analisis y poder guardar el reporte Gracias

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/1/19
Hora del análisis: 15:23
Archivo de registro: a954c191-24c8-11e9-9351-003067c7e50b.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.527
Versión del paquete de actualización: 1.0.9028
Licencia: Prueba

-Información del sistema-
SO: Windows 7
CPU: x86
Sistema de archivos: NTFS
Usuario: Chirstopher-PC\Chirstopher

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 91004
Amenazas detectadas: 12
Amenazas en cuarentena: 0
Tiempo transcurrido: 31 min, 48 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 12
Trojan.Gosys, C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, [4144], [199097],1.0.9028
Backdoor.Agent.Generic, C:\USERS\CHIRSTOPHER\DESKTOP\VER PANTALLAZOS AZULES WINDOWS 7\BLUESCREENVIEW.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Bot, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, [890], [207664],1.0.9028
Trojan.MalPack.GS, C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\CONTENT\28487C1A16D98AA8765CCCCA46BBEF43, Sin acciones por parte del usuario, [7898], [631603],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\CONFIG.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\UNWISE.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\UNINSTALL.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
RiskWare.Tool.HCK, D:\SONY VEGAS PRO 10 TUTOSWEB88\SONYVEGASPRO PATCH.EXE, Sin acciones por parte del usuario, [7670], [138555],1.0.9028
RiskWare.Tool.CK, D:\SONY VEGAS PRO 10 TUTOSWEB88\KEYGEN.EXE, Sin acciones por parte del usuario, [5748], [137593],1.0.9028
Backdoor.Agent.Generic, D:\VLC\VLC-CACHE-GEN.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\VLC\UNINSTALL.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\VLC\VLC.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Buenas aca esta el reporte veo segun lo que vi infecto otras aplicaciones Etare esperando las intrucciones y las sugenrecias con estos malware y consejos para que esto no vuelva a pasar MUCHAS GRACIAS POR SU AYUDA

Hola

El informe indica que no eliminaste lo que encontró Malwarebytes …

Buenas entiendo como dije anteriormente lo analizaba el antivirus lo ponía en cuarentena pero a la hora de reiniciar (que es necesario para eliminar las amenazas)se encontraban las mismas amenazas al hacer un nuevo análisis

Hola

Realiza las siguientes acciones:

Análisis del PC con Eset Online Scaner : Manual de Uso

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

NOTAS IMPORTANTES:

  1. En Tu próxima respuesta, debes pegar ambos reportes.
  1. Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).

  2. Nos comentas como sigue el problema original por el que abriste el tema.

Saludos

Saludos y Buenas aca estan los reportes

eset scaner virus resultados.txt (356 Bytes) ese es el eset scaner

Y aqui el Kaspersky Virus Removal Tool!

Kaspersky%20Virus%20Removal%20Tool%20resultados|656x373

Buenas hay algo para decir ya despues de los reportes realize otros analizis en Kasperky Virus Removal tool no encontra nada ahora despues del reinicio y eset online scaner no encontro virus ni infecciones despues del reinicio de todos modos Nesecito sugerencias para estar seguro Y MUCHAS GRACIAS POR SU AYUDA pero malwarebytes aun los detecta

buenas para saber sobre los resultados de los análisis y que tendría que hacer al respecto porque todo esto lo he enviado desde modo seguro en windows y Disculpen las molestias

Hola

Descargá la herramienta Delfix a Tu escritorio.

Ejecutala, Tildá la casilla Remove disinfection tools y presioná Run

Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Desactiva temporalmente tu antivirus y cualquier programa de seguridad que tengas en funciones.

Descarga Farbar Recovery Scan Tool en el escritorio de Tu PC. Selecciona la versión adecuada para la arquitectura (32 o 64bits) de tu equipo.

Como saber si Mi Windows es de 32 0 64 Bits`

  • Ejecuta FRST.exe
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

En Tu próxima respuesta, debes pegar los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Guía: Como Pegar reportes en el Foro

Saludos

aca esta el FRST.txt

FRST.txt (40,2 KB)

y aqui el Addition.txt

Addition.txt (21,8 KB)

Hola

Abrí un nuevo archivo Notepad y copia y pega este contenido:

Start
CreateRestorePoint:
CloseProcesses
C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE
HKLM\...\RunOnce: [GrpConv] => grpconv -o
HKLM\...\RunOnce: [{997FC6B4-B63A-497C-A6D4-A8136CE68D95}] => C:\Users\Chirstopher\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd [294 2019-01-30] () <==== ATTENTION
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe, [x ] ()
2019-01-30 18:18 - 2019-01-30 18:18 - 000000000 _____ C:\Windows\system32\Drivers\OLD934F.tmp
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onTime.job
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onLogOn.job
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH C:\Users\Chirstopher\AppData\Local\stsys.exe
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2019-01-29 19:08 - 2019-01-29 19:08 - 000211788 __RSH () C:\Users\Chirstopher\AppData\Roaming\mrsys.exe
2019-01-23 19:44 - 2019-01-29 19:57 - 000003390 _____ () C:\Users\Chirstopher\AppData\Local\icsys.icn
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH () C:\Users\Chirstopher\AppData\Local\stsys.exe
C:\Users\CHIRST~1\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Saludos

aqui esta el Fixlog.txt

Fixlog.txt (6,8 KB)

Y Muchas gracias por su ayuda

Hola

Reinicia el sistema y hace un nuevo análisis con Malwarebytes.

Volves con el nuevo reporte y Nos comentas como sigue …

Saludos

aca esta el nuevo reporte

Reporte de Malwarebytes-virus.txt (1,6 KB)

Segun lo que vi el Trojan.gsys y otro backdoor se eliminaron queda uno el backdoor.Bot del C:\WINDOWS\SYSTEM\EXPLORER.EXE que era el otro que no puedo eliminar despues de la cuarentena

de todos modos escucho sus Sugerencias y De Verdad Muchas Gracias Me siento Feliz de conocer este foro y ser Parte de el Gracias :grin:

Hola

Ejecutá un análisis con Dr. Web Cure It siguiendo Su Manual

Volves con el reporte generado y Nos comentas como sigue el problema

Saludos

Buenas Saludos aca esta el reporte de dr.web cure lt

dr.cureit REPORTE.txt (454 Bytes)

segun lo visto fue por el .EXE de ultraISO que tenia de todos modos estare pendiente a sus respuestas

Hola

Vamos muy bien.

Ahora, necesito que elimines del escritorio los reportes Frst.txt, Addition.txt y Fixlog.txt para no crear confusiones.

Vas a ejecutar nuevamente FRST tal como lo hiciste la primera vez y luego vas a pegar los nuevos reportes en Tu próxima respuesta.

Saludos

Saludos aca esta el Nuevo FRST.txt

FRST.txt (37,7 KB)

y aqui el nuevo Addition.txt

Addition.txt (22,5 KB)

PD: el Fixlog.txt hay que realizarlo nuevamente? si es asi me tardare un poco para el resultado de este

Hola

Abrí un nuevo archivo Notepad y copia y pega este contenido:

Start
CreateRestorePoint:
CloseProcesses
CHR Extension: (Deadpool) - C:\Users\Chirstopher\AppData\Local\Google\Chrome\User Data\Default\Extensions\mihiehkcaajaipjpoeeolnnacomapnng [2019-01-24]
HKLM\SYSTEM\CurrentControlSet\Services\4583E9F09559D594 <==== ATTENTION (Rootkit!)
C:\WINDOWS\SYSTEM\EXPLORER.EXE
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

Reinicia el ordenador en Modo Seguro

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Saludos