Buenas tengo problemas con estos malware malwarebytes,los detecta y los pone en cuarentena pero al reiniciar y hacer otro análisis siguen apareciendo los mismos malware, POR FAVOR NESECITO AYUDA PARA ELIMINAR ESOS MALWARE tambien tengo la ruta donde se alojan trojan.gsys es appdata/roaming/mrsys.exe
backdoor.bot windows/system/explorer.exe
y el backdoor.agent.generic appdata/local/icsys.icn.exe
Quisiera una respuesta lo mas pronto posible por favor Gracias
Hola
Por favor, pega el reporte que te arroja Malwarebytes.
Saludos
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 30/1/19
Hora del análisis: 15:09
Archivo de registro: b1e7f4a1-24c6-11e9-862d-000000000000.json
-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.527
Versión del paquete de actualización: 1.0.9028
Licencia: Prueba
-Información del sistema-
SO: Windows 7
CPU: x86
Sistema de archivos: NTFS
Usuario: Chirstopher-PC\Chirstopher
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 151373
Amenazas detectadas: 2
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 min, 46 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 2
Trojan.Gosys, C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, [4144], [199097],1.0.9028
Backdoor.Bot, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, [890], [207664],1.0.9028
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
aca esta el reporte de malwarebytes
PD:tambien vi algo ese fue el primer analizis antes de ver el backdoor.agent.generic porque estoy haciendo otro analizis en en disco C y respaldo D y aparecio otro malware es trojan.malpack.gs su ubicacion no la he pegado porque estoy esperando a que termine el analisis y poder guardar el reporte Gracias
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 30/1/19
Hora del análisis: 15:23
Archivo de registro: a954c191-24c8-11e9-9351-003067c7e50b.json
-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.527
Versión del paquete de actualización: 1.0.9028
Licencia: Prueba
-Información del sistema-
SO: Windows 7
CPU: x86
Sistema de archivos: NTFS
Usuario: Chirstopher-PC\Chirstopher
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 91004
Amenazas detectadas: 12
Amenazas en cuarentena: 0
Tiempo transcurrido: 31 min, 48 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 12
Trojan.Gosys, C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, [4144], [199097],1.0.9028
Backdoor.Agent.Generic, C:\USERS\CHIRSTOPHER\DESKTOP\VER PANTALLAZOS AZULES WINDOWS 7\BLUESCREENVIEW.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Bot, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, [890], [207664],1.0.9028
Trojan.MalPack.GS, C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\CONTENT\28487C1A16D98AA8765CCCCA46BBEF43, Sin acciones por parte del usuario, [7898], [631603],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\CONFIG.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\UNWISE.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\HITMAN 2 SILENT ASSASSIN\UNINSTALL.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
RiskWare.Tool.HCK, D:\SONY VEGAS PRO 10 TUTOSWEB88\SONYVEGASPRO PATCH.EXE, Sin acciones por parte del usuario, [7670], [138555],1.0.9028
RiskWare.Tool.CK, D:\SONY VEGAS PRO 10 TUTOSWEB88\KEYGEN.EXE, Sin acciones por parte del usuario, [5748], [137593],1.0.9028
Backdoor.Agent.Generic, D:\VLC\VLC-CACHE-GEN.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\VLC\UNINSTALL.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Backdoor.Agent.Generic, D:\VLC\VLC.EXE, Sin acciones por parte del usuario, [5746], [355551],1.0.9028
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Buenas aca esta el reporte veo segun lo que vi infecto otras aplicaciones Etare esperando las intrucciones y las sugenrecias con estos malware y consejos para que esto no vuelva a pasar MUCHAS GRACIAS POR SU AYUDA
Hola
El informe indica que no eliminaste lo que encontró Malwarebytes …
Buenas entiendo como dije anteriormente lo analizaba el antivirus lo ponía en cuarentena pero a la hora de reiniciar (que es necesario para eliminar las amenazas)se encontraban las mismas amenazas al hacer un nuevo análisis
Hola
Realiza las siguientes acciones:
Análisis del PC con Eset Online Scaner : Manual de Uso
Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso
NOTAS IMPORTANTES:
Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).
Nos comentas como sigue el problema original por el que abriste el tema.
Saludos
Saludos y Buenas aca estan los reportes
eset scaner virus resultados.txt (356 Bytes) ese es el eset scaner
Y aqui el Kaspersky Virus Removal Tool!
Buenas hay algo para decir ya despues de los reportes realize otros analizis en Kasperky Virus Removal tool no encontra nada ahora despues del reinicio y eset online scaner no encontro virus ni infecciones despues del reinicio de todos modos Nesecito sugerencias para estar seguro Y MUCHAS GRACIAS POR SU AYUDA pero malwarebytes aun los detecta
buenas para saber sobre los resultados de los análisis y que tendría que hacer al respecto porque todo esto lo he enviado desde modo seguro en windows y Disculpen las molestias
Hola
Descargá la herramienta Delfix a Tu escritorio.
Ejecutala, Tildá la casilla Remove disinfection tools y presioná Run
Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.
Desactiva temporalmente tu antivirus y cualquier programa de seguridad que tengas en funciones.
Descarga Farbar Recovery Scan Tool en el escritorio de Tu PC. Selecciona la versión adecuada para la arquitectura (32 o 64bits) de tu equipo.
Como saber si Mi Windows es de 32 0 64 Bits`
Guía: Como Ejecutar FRST
En Tu próxima respuesta, debes pegar los dos reportes generados.
Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).
Guía: Como Pegar reportes en el Foro
Saludos
Hola
Abrí un nuevo archivo Notepad y copia y pega este contenido:
Start
CreateRestorePoint:
CloseProcesses
C:\USERS\CHIRSTOPHER\APPDATA\ROAMING\MRSYS.EXE
HKLM\...\RunOnce: [GrpConv] => grpconv -o
HKLM\...\RunOnce: [{997FC6B4-B63A-497C-A6D4-A8136CE68D95}] => C:\Users\Chirstopher\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd [294 2019-01-30] () <==== ATTENTION
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe, [x ] ()
2019-01-30 18:18 - 2019-01-30 18:18 - 000000000 _____ C:\Windows\system32\Drivers\OLD934F.tmp
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onTime.job
2019-01-30 18:14 - 2019-01-30 18:14 - 000000304 _____ C:\Windows\Tasks\EOSv3 Scheduler onLogOn.job
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH C:\Users\Chirstopher\AppData\Local\stsys.exe
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2019-01-29 22:09 - 2009-07-14 00:04 - 000009600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2019-01-29 19:08 - 2019-01-29 19:08 - 000211788 __RSH () C:\Users\Chirstopher\AppData\Roaming\mrsys.exe
2019-01-23 19:44 - 2019-01-29 19:57 - 000003390 _____ () C:\Users\Chirstopher\AppData\Local\icsys.icn
2019-01-29 19:39 - 2019-01-29 19:39 - 000211962 __RSH () C:\Users\Chirstopher\AppData\Local\stsys.exe
C:\Users\CHIRST~1\AppData\Local\Temp\{9D20E041-734E-4931-A9FD-EC02F515CA69}\{997FC6B4-B63A-497C-A6D4-A8136CE68D95}.cmd
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
ENDNota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.
Saludos
Hola
Reinicia el sistema y hace un nuevo análisis con Malwarebytes.
Volves con el nuevo reporte y Nos comentas como sigue …
Saludos
aca esta el nuevo reporte
Reporte de Malwarebytes-virus.txt (1,6 KB)
Segun lo que vi el Trojan.gsys y otro backdoor se eliminaron queda uno el backdoor.Bot del C:\WINDOWS\SYSTEM\EXPLORER.EXE que era el otro que no puedo eliminar despues de la cuarentena
de todos modos escucho sus Sugerencias y De Verdad Muchas Gracias
Me siento Feliz de conocer este foro y ser Parte de el Gracias 
Hola
Ejecutá un análisis con Dr. Web Cure It siguiendo Su Manual
Volves con el reporte generado y Nos comentas como sigue el problema
Saludos
Buenas Saludos aca esta el reporte de dr.web cure lt
dr.cureit REPORTE.txt (454 Bytes)
segun lo visto fue por el .EXE de ultraISO que tenia de todos modos estare pendiente a sus respuestas
Hola
Vamos muy bien.
Ahora, necesito que elimines del escritorio los reportes Frst.txt, Addition.txt y Fixlog.txt para no crear confusiones.
Vas a ejecutar nuevamente FRST tal como lo hiciste la primera vez y luego vas a pegar los nuevos reportes en Tu próxima respuesta.
Saludos
Saludos aca esta el Nuevo FRST.txt
FRST.txt (37,7 KB)
y aqui el nuevo Addition.txt
Addition.txt (22,5 KB)
PD: el Fixlog.txt hay que realizarlo nuevamente? si es asi me tardare un poco para el resultado de este