Ayer llegó un equipo portátil infectado. Se bloqueaba poco a poco y el explorer era incapaz de ver sus unidades. En modo aprueba de fallos opera o.k.. Se localiza el proceso fxmdk.exe y es eliminado junto con otros archivos. Pero al iniciar windows desde modo normal aparece siempre quusahywoo.exe, y no hay forma de terminar el proceso desde el administrador de tareas.Haciendo correr antivirus antes del inicio de windows no se detecta, y de los mejores spywares, como spyware doctor, ni lo encuentra, tampoco dejaba operar con él desde modo normal, sólo a prueba de fallos.. La pregunta es obvia; este equipo se optó por formatearlo, puesto que estaba muy tocado, pero en qué consiste el mal que tenía y si alguien ha tenido la oportunidad de estar frente a él puede hacernos al foro los comentarios oportunos.

ya intentaste probar con un liveCD para erradicar el problema? si logras entrar a tu sistema seria conveniente que repares el cmd, ejecutar y el administrador, corre algun programa para matar procesos, y asi puedas escanear con algún antivirus, o anti-troyanos, recuerda terminar el proceso del escritorio (explorer) la mayoria de los virus y troyanos su proceso esta junto al escritorio y si no terminas ese proceso nunca eliminaras nada.

Aclaro un poco. Con un live cd ya se hizo sin resultados; y desde modo a prueba de fallos permitía todo. Insisto que el equipo ya se ha formateado, por tanto, pruebas ya no se pueden hacer. De ahí la posible experiencia y sugerencias sobre el tema en cuestión para males futuros menores.

ok, aclarado entonces si es una instalación limpia, esto se deberá a que usas unidades extraíbles infectadas, que al conectar a tu maquina recién formateada no tiene protección o la protección que le pones es débil.

Te comento. El equipo ya está funcionando o.k. tras el formateo.

el sistema contaba con un firewall?,el problema de ese proceso se presentaba,con coneccion/sin coneccion o de las 2 formas??,el disco duro contaba con particiones de respaldo?,la eliminacion de ese proceso fxmdk.exe <<<< como lo realizaste (nombres,infecciones,archivos borrados). El mal en que consistia,seria un poco dificil determinarlo bueno al menos para mi,no podria dar una razon sin antes haber visto logs.texts de lo que encontraste con infeccions,etc.Pero podria dejarte algunas sugerencias que podrias intentar en un futuro si se te presenta algo parecido: Una forma podria ser,por medio de la instalcion de un firewall y de esta manera bloquear ese proceso,existen 3 o 4 programas que pueden tambien realizar un mejor trabajo que el administrador de tareas,algunos de ellos serian:process explorer,hacker process y un buen programa que todavia esta en su etapa beta COMODO Cleaning Essentials,este ultimo es muy completo dado a que identifica si el proceso es safe o si es un troyano,puede identificar conecciones tcp,udp out and in,puertos abiertos,rootkit,puede realizar la investigacion en linea de cuales son las funciones de dicho proceso o de manera directa investigarlo en 'Virus Total" .. realiza esa invesigaccion desde modo a prueba de fallos con coneccion a internet o en caso de que ese proceso no interfiera,realizarlo desde Modo Normal.. Una vez investigado dicho proceso,se determina si lo desea detener o eliminar manualmente o realizando un scan.. saludos

Muy buenos tus apuntes, compañero. Mi duda también consiste en si son uno o dos bichos los que había, porque el segundo, como ya comenté no había manera de pararlo y de localizarlo. El explorer no encontraba nada de nada. Quizás sea un bicho nuevo , y de ahí que no se localizara el problema al 100%. Corrió eScan antivirus en liveCd, malwarebytes desde modo seguro, este si localizó al FXMDK.EXE y sus secuaces, pero el que quedó fué el quusahywoo.exe. Avast pro 4 lo encontraba, pero se bloqueaba el antivirus. Y spyware doctor, con los buenos resultados que siempre había dado, nada de nada. Repito que sólo se podía ejecutar en modo seguro. Seguimos con consejos y apuntes sobre el tema.

Como un dato extra sobre este tema: FXMDK.EXE has been seen to perform the following behavior: * Uses rootkit techniques to conceal its presence, interrogation or removal * Found on infected systems and resists interrogation by security products The following Registry Keys were created: so that nlwyet.exe runs every time Windows starts # [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] * Shell = "%AppData%\nlwyet.exe,explorer.exe,%UserProfile%\fxmdk.exe" Al parecer era un rootkit y algunos amigos mas,alli se encuentra el porque de tu problema al iniciar windows y lo que afectaba,"posiblemente"un buen firewall pudiera haberlo detectado.Porque tu LIVE CD no lo identifico? bueno hay que ver que esta infeccion se detecto el 28(29)/1/2011 ,desconosco si ese live estuvo con sus bases actualizadas(a la fecha en la que realizaste el scan),es dificil asegurarlo si fue completamente/correctamente eliminado o si existian mas variantes,dado a que no se le siguio investigando. En este caso si realizaste todos los analisis correspondientes correctamente y la infeccion seguia presente,solo te quedaba utilizar herramientas como: -Instalar un Firewall,(deteniendo proceso(s),si se interferian en su instalacion). -TDSSKiller <<<<<<scan por rootkit.. -process hacker o comodo<<<<<<scan por procesos,conecciones y scans por rootkit (Deteniendo el proceso(s),en caso de interferir con la instalacion del firewall.) -GMER <<<<<<Scan por rootkit... cmd/netstat /anob,detectar las concecciones de proceso(s)(sospechosos),identificarlo PID (safe mode con coneccion y en modo normal).. -Analisis Online(safe mode con coneccion o modo normal)... -OTM Se que es muy facil escribirlo sin estar de frente ante esa situacion,pero por eso mismo he dejado esas sugerencias para que pueda tener varias variantes o ideas de como enfrentar dicho problema en un futuro(en caso de presentarse). Saludos..

Si en realidad eran 2 rootkits,en el cual segun en la lista de Malware aparecion entre el 28(29)/1/2011 solo 3 antivirus lo detectaron,entre ellos no figuraba Avast o eScan. El segundo no me refiero a "quusahywoo.exe" si hubiera tenido el tiempo y la oportunidad desde modo seguro con coneccion y analizarlo en virus total,se hubiera tenido la respuesta a tu duda,si en realidad eran 2 o 3... Creo que esta de mas el explicar lo que es un Rootkit y de lo entre algunos antivirus lo hace ser casi indetectable,un cambio de antivirus en ese tipo de situaciones tambien es buena opcion (avira,cambiando su configuracion por default) y por ultimo mas investigacion.. Estoy seguro que otras personas tambien podran darte sus Sugerencias en base a sus experiencias,es cuestion de esperar..... Saludos

Hola, respecto del "quusahywoo.exe" parece ser una infección de nombre aleatorio que es comandada por otro archivo. En caso que no se vea nada en la lista de inicio automático de MSCONFIG, por lo general para identificar el problema miro la lista de servicios asociados a Svchost.exe: con OTL y Combofix aparece una lista de título Netsvcs, donde se podría dejar lo conocido y eliminar algún ítem desconocido; en este último caso no se elimina la fuente del problema pero al menos ya no iniciará dicho servicio por lo que no tendrá ningún efecto. Otra opción es buscar en la ubicación C:\WINDOWS\System32\DRIVERS\, aquí es donde los antivirus ubican sus componentes más importantes que la mayoría de las veces hacen imposible apagar-desinstalar el antivirus por la fuerza, ya que están protegidos. De igual manera varios rootkits y malwares en general se registran en esa carpeta y hacen difícil eliminar una infección ya que constantemente generan otros archivos maliciosos en distinta ubicación desviando la atención sobre ellos que no se muestran en las entradas de inicio automático. La única que queda, si el antivirus no detecta nada, es determinar por uno mismo la empresa de origen y confiabilidad de los .sys que figuran en la carpeta.