win32.Agent.pz

Tonicu · #1 21-dic-2009, 12:59

Buenas. Este cabroncete me est´´a dando el coñazo. No deja escribir acentos, desactiva a voluntad el firewall y el avg, ccleaner, adaware y otros no son capaces de fulminarlo.
Alguna ayuda? El ordenador va lent´´isimo y estoy que muerdo ...
Muchas gracias por vuestra atenci´´on, espero vuestra ayuda.

jbex · #2 21-dic-2009, 16:26

Hola Tonicu, sigue las indicaciones que se dan aquí: Consejos antes de pegar su log de HijackThis
Si con ello persisten los problemas Sacar un log de Hijackthis para su análisis en el foro
Un saludo

Tonicu · #3 22-dic-2009, 00:28

Hola. Gracias por los consejos que he seguido al pie de la letra, pero al pasar nuevamente el spybot, aunque el ordenador no va tan lento, aparece de nuevo el puñetero win32.Agent.pz.
Qué más puedo hacer?

facaor · #4 22-dic-2009, 09:59

Si con ello persisten los problemas Sacar un log de Hijackthis para su análisis en el foro, que te mostró mi compañero.

Un saludo y Feliz Navidad

Hybrid · #5 22-dic-2009, 13:38

He creado esta utilidad para eliminar "Win32Agent.pz" y algunas de sus variantes.
Debe ser usado en "modo a prueba de fallos" ó "modo seguro"
Este programa busca estos archivos ya conocidos por infecciones anteriores, en sus rutas y de existir alguno los elimina.
Ninguno de ellos son legitimos de windows ú otras aplicaciones, así que no hay problemas en eliminarlos.
Tambien borra los archivos temporales, limpia el archivo "hosts" y habilita "restaurar sistema"

Los archivos a eliminar son los siguientes:

1 %windir%\system32\winup_32dll.exe
2 %windir%\system32\twext.exe
3 %windir%\system32\ntos.exe
4 %windir%\system32\sdra64.exe
5 %windir%\system32\windows64.exe
6 %windir%\system32\bootwindows.exe
7 %windir%\system32\win32h.exe
8 %windir%\system32\server.exe
9 %windir%\system32\explorerr.exe
10 %windir%\system32\dxtpdx.dll
11 %windir%\iexplore.dll
12 %windir%\msnlogm.exe
13 %windir%\system32\phuoqoab.dll
14 %windir%\system32\msnlogs.exe
15 %windir%\system32\mtsdsc.exe
16 %windir%\system32\WLCtrl32.dll
17 %windir%\system32\sysfldr.dll
18 %windir%\system32\scvhost.exe
19 %windir%\system32\iexplore.exe
20 %windir%\ServicePackFiles\services.exe
21 %windir%\system32\WLCtrl32.dll
22 %windir%\system32\phuoqoab.dll
23 %windir%\system32\sysfldr.dll
24 %windir%\system32\windat32.exe
25 %windir%\system32\drivers\spools.exe
26 %windir%\system32\Microsoft.exe
27 %windir%\system32\SERVUS.exe
28 %windir%\system32\sfklg.dll
29 %windir%\system32\msntb.dll
30 %windir%\system32\dxtpdx.dll
31 %windir%\system32\NTSpool.exe
32 "%Windir%\System32\Macromed\Shockwave 10\PostUpdate.exe"
33 %windir%\win32h.exe
34 "%windir%\Archivos de programa\WinMessenger\WinMesgr.exe"
35 %windir%\system32\WinMesgr.exe
36 %windir%\system32\WinMessenger.exe
37 %windir%\scvhost.exe
38 %windir%\PROGRA~1\TEXTAL~1\TAForIE.dll
39 %windir%\system32\phuoqoab.dll
40 %windir%\firma.html
41 %windir%\System32\mswsock2.dll

Una vez eliminados los archivos infectados, las rutas del registro que hacen mención a ellos se pueden eliminar/reparar facilmente con cualquier aplicación para limpieza de registros.

Anti "Win32Agent.pz" por Hybrid

Código:

@echo off

REM inicio del programa

cls
color 03
echo Programa creado para eliminar "Win32Agent.pz" y sus variantes
echo Pulse una tecla para comenzar
pause > nul
set con=0

REM borrado de archivos temporales

attrib -r -a -s -h %temp%\*.*
del /f /q /s %temp%\*.*

REM limpieza y del archivo "hosts"

attrib -r -a -s -h %windir%\system32\drivers\etc\*.*
del /f /q %windir%\system32\drivers\etc\*.*
echo 172.0.0.1                              localhost >%windir%\system32\drivers\etc\hosts
attrib +r +s %windir%\system32\drivers\etc\hosts

REM habilitando restaurar sistema

reg add "HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore" /v DisableSR /t REG_DWORD /d 0 /f 

REM eliminacion de archivos

if not exist %windir%\system32\winup_32dll.exe goto dos
attrib -r -a -s -h  %windir%\system32\winup_32dll.exe
del /f /q %windir%\system32\winup_32dll.exe
set /a con=%con%+1

:dos
if not exist %windir%\system32\twext.exe goto tres
attrib -r -a -s -h %windir%\system32\twext.exe
del /f /q %windir%\system32\twext.exe
set /a con=%con%+1

:tres
if not exist %windir%\system32\ntos.exe goto cuatro
attrib -r -a -s -h %windir%\system32\ntos.exe
del /f /q %windir%\system32\ntos.exe
set /a con=%con%+1

:cuatro
if not exist %windir%\system32\sdra64.exe goto cinco
attrib -r -a -s -h %windir%\system32\sdra64.exe
del /f /q %windir%\system32\sdra64.exe
set /a con=%con%+1

:cinco
if not exist %windir%\system32\windows64.exe goto seis
attrib -r -a -s -h %windir%\system32\windows64.exe 
del /f /q %windir%\system32\windows64.exe 
set /a con=%con%+1

:seis
if not exist %windir%\system32\bootwindows.exe goto siete
attrib -r -a -s -h %windir%\system32\bootwindows.exe
del /f /q %windir%\system32\bootwindows.exe
set /a con=%con%+1

:siete
if not exist %windir%\system32\win32h.exe goto ocho
attrib -r -a -s -h %windir%\system32\win32h.exe
del /f /q %windir%\system32\win32h.exe
set /a con=%con%+1

:ocho
if not exist %windir%\system32\server.exe goto nueve
attrib -r -a -s -h %windir%\system32\server.exe
del /f /q %windir%\system32\server.exe
set /a con=%con%+1

:nueve
if not exist %windir%\system32\explorerr.exe goto diez
attrib -r -a -s -h %windir%\system32\explorerr.exe
del /f /q %windir%\system32\explorerr.exe
set /a con=%con%+1

:diez
if not exist %windir%\system32\dxtpdx.dll goto once
attrib -r -a -s -h %windir%\system32\dxtpdx.dll
del /f /q %windir%\system32\dxtpdx.dll
set /a con=%con%+1

:once
if not exist %windir%\iexplore.dll goto doce
attrib -r -a -s -h %windir%\iexplore.dll
del /f /q %windir%\system32\iexplore.dll
set /a con=%con%+1

:doce
if not exist %windir%\msnlogm.exe goto trece
attrib -r -a -s -h %windir%\msnlogm.exe 
del /f /q %windir%\msnlogm.exe
set /a con=%con%+1

:trece
if not exist %windir%\system32\phuoqoab.dll goto catorce
attrib -r -a -s -h %windir%\system32\phuoqoab.dll
del /f /q %windir%\system32\phuoqoab.dll
set /a con=%con%+1 

:catorce
if not exist %windir%\system32\msnlogs.exe goto quince
attrib -r -a -s -h %windir%\system32\msnlogs.exe 
del /f /q %windir%\system32\msnlogs.exe
set /a con=%con%+1

:quince
if not exist %windir%\system32\mtsdsc.exe goto dieciseis
attrib -r -a -s -h %windir%\system32\mtsdsc.exe
del /f /q %windir%\system32\mtsdsc.exe
set /a con=%con%+1

:dieciseis
if not exist %windir%\system32\WLCtrl32.dll goto diecisiete
attrib -r -a -s -h %windir%\system32\WLCtrl32.dll
del /f /q %windir%\system32\WLCtrl32.dll
set /a con=%con%+1

:diecisiete
if not exist %windir%\system32\sysfldr.dll goto dieciocho
attrib -r -a -s -h %windir%\system32\sysfldr.dll
del /f /q %windir%\system32\sysfldr.dll
set /a con=%con%+1

:dieciocho
if not exist %windir%\system32\scvhost.exe goto diecinueve
attrib -r -a -s -h %windir%\system32\scvhost.exe
del /f /q %windir%\system32\scvhost.exe
set /a con=%con%+1

:diecinueve
if not exist %windir%\system32\iexplore.exe goto veinte
attrib -r -a -s -h %windir%\system32\iexplore.exe
del /f /q %windir%\system32\iexplore.exe 
set /a con=%con%+1

:veinte
if not exist %windir%\ServicePackFiles\services.exe goto veintiuno
attrib -r -a -s -h %windir%\ServicePackFiles\services.exe
del /f /q %windir%\ServicePackFiles\services.exe
set /a con=%con%+1

:veintiuno
if not exist %windir%\system32\WLCtrl32.dll goto veintidos
attrib -r -a -s -h %windir%\system32\WLCtrl32.dll
del /f /q %windir%\system32\WLCtrl32.dll
set /a con=%con%+1

:veintidos
if not exist %windir%\system32\phuoqoab.dll goto veintitres
attrib -r -a -s -h %windir%\system32\phuoqoab.dll
del /f /q %windir%\system32\phuoqoab.dll
set /a con=%con%+1

:veintitres
if not exist %windir%\system32\sysfldr.dll goto veinticuatro
attrib -r -a -s -h %windir%\system32\sysfldr.dll
del /f /q %windir%\system32\sysfldr.dll
set /a con=%con%+1

:veinticuatro
if not exist %windir%\system32\windat32.exe goto veinticinco
attrib -r -a -s -h %windir%\system32\windat32.exe
del /f /q %windir%\system32\windat32.exe
set /a con=%con%+1

:veinticinco
if not exist %windir%\system32\drivers\spools.exe goto veintiseis
attrib -r -a -s -h %windir%\system32\drivers\spools.exe
del /f /q %windir%\system32\drivers\spools.exe
set /a con=%con%+1

:veintiseis
if not exist %windir%\system32\Microsoft.exe goto veintisiete
attrib -r -a -s -h %windir%\system32\Microsoft.exe
del /f /q %windir%\system32\Microsoft.exe
set /a con=%con%+1

:veintisiete
if not exist %windir%\system32\SERVUS.exe goto veintiocho
attrib -r -a -s -h %windir%\system32\SERVUS.exe
del /f /q %windir%\system32\SERVUS.exe
set /a con=%con%+1

:veintiocho
if not exist %windir%\system32\sfklg.dll goto veintinueve
attrib -r -a -s -h %windir%\system32\sfklg.dll
del /f /q %windir%\system32\sfklg.dll
set /a con=%con%+1

:veintinueve
if not exist %windir%\system32\msntb.dll goto treinta
attrib -r -a -s -h %windir%\system32\msntb.dll
del /f /q %windir%\system32\msntb.dll
set /a con=%con%+1

:treinta
if not exist %windir%\system32\dxtpdx.dll goto treintiuno
attrib -r -a -s -h %windir%\system32\dxtpdx.dll
del /f /q %windir%\system32\dxtpdx.dll
set /a con=%con%+1

:treintiuno
if not exist %windir%\system32\NTSpool.exe goto treintidos
attrib -r -a -s -h %windir%\system32\NTSpool.exe
del /f /q %windir%\system32\NTSpool.exe
set /a con=%con%+1

:treintidos
if not exist "%Windir%\System32\Macromed\Shockwave 10\PostUpdate.exe" goto treintitres
attrib -r -a -s -h "%Windir%\System32\Macromed\Shockwave 10\PostUpdate.exe"
del /f /q "%Windir%\System32\Macromed\Shockwave 10\PostUpdate.exe"
set /a con=%con%+1

:treintitres
if not exist %windir%\win32h.exe goto treinticuatro
attrib -r -a -s -h %windir%\win32h.exe
del /f /q %windir%\system32\win32h.exe
set /a con=%con%+1

:treinticuatro
if not exist "%windir%\Archivos de programa\WinMessenger\WinMesgr.exe" goto treinticinco
attrib -r -a -s -h "%windir%\Archivos de programa\WinMessenger\WinMesgr.exe"
del /f /q "%windir%\Archivos de programa\WinMessenger\WinMesgr.exe"
set /a con=%con%+1

:treinticinco
if not exist %windir%\system32\WinMesgr.exe goto treintiseis
attrib -r -a -s -h %windir%\system32\WinMesgr.exe 
del /f /q %windir%\system32\WinMesgr.exe 
set /a con=%con%+1

:treintiseis
if not exist %windir%\system32\WinMessenger.exe goto treintisiete
attrib -r -a -s -h %windir%\system32\WinMessenger.exe
del /f /q %windir%\system32\WinMessenger.exe
set /a con=%con%+1

:treintisiete
if not exist %windir%\scvhost.exe goto treintiocho
attrib -r -a -s -h %windir%\scvhost.exe
del /f /q %windir%\scvhost.exe
set /a con=%con%+1

:treintiocho
if not exist %windir%\PROGRA~1\TEXTAL~1\TAForIE.dll goto treintinueve
attrib -r -a -s -h %windir%\PROGRA~1\TEXTAL~1\TAForIE.dll
del /f /q %windir%\PROGRA~1\TEXTAL~1\TAForIE.dll
set /a con=%con%+1

:treintinueve
if not exist %windir%system32\phuoqoab.dll goto cuarenta
attrib -r -a -s -h %windir%system32\phuoqoab.dll
del /f /q %windir%system32\phuoqoab.dll
set /a con=%con%+1

:cuarenta
if not exist %windir%\firma.html goto cuarentiuno
attrib -r -a -s -h %windir%\firma.html
del /f /q %windir%\firma.html
set /a con=%con%+1

:cuarentiuno
if not exist %windir%\system32\mswsock2.dll goto final
attrib -r -a -s -h %windir%\system32\mswsock2.dll
del /f /q %windir%\system32\mswsock2.dll
set /a con=%con%+1

REM final de la aplicacion

:final
cls
echo Programa creado y por    Hybrid 12/2009
echo Analisis:
echo Se han encontrado y eliminado %con% archivos infectados en su sistema
echo Se ha habilitado "restaurar sistema"
echo Se ha limpiado el archivo "Hosts"
echo Se han borrado los archivos temporales
echo Pulse una tecla para terminar
pause > nul
exit

Para usar esta aplicación se debe copiar el code en un block de notas, y al guardarlo en "guardar como", le ponemos "unnombre.bat".
Por ultimo buscamos el archivo y lo ejecutamos con doble click.

Existen variantes polimorficas de este virus, al cambiar el nombre y ruta en cada infección se desconocen todos los nombres que puede tener, por lo que su eliminación no está asegurada al 100%.

Saludos.

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
No puedo eliminar rootkit.win32.agent.fgx	surgysea	Logs de HijackThis	8	08-ene-2009 11:49
Detectar y eliminar Trojan.Agent.auvh	jbex	Virus, Spywares y otras amenazas	0	02-ene-2009 17:05
win32.agent.pz	marianico	Logs de HijackThis	10	31-oct-2008 15:26
Rootkit.Agent.NBQ. Esconde otros procesos maliciosos	lobezzno	Virus, Spywares y otras amenazas	0	09-dic-2007 22:34

win32.Agent.pz

Temas Similares