problemas con instalación de varios tipos de antivirus

Oban40 · Mensaje por **Oban40** » 06 Jul 2007, 22:27

Hola amigos:

He sufrido el ataque de 3 virus que me dieron error en NOD32 que tube que desinstalar y no he podido volver a instalarlo, muy amablemente en el foro de virus, me han ayudado a desinfectarlo, pero ahora si teniendo el problema de la instalción de programas antivirus, me han dicho que posiblemente es que no esten bien desinstalados...queden resto y por eso no puedo volver a instalar, cuando me paso intente instalar NOD32, KASPERSKY, BITDEFENDER en versiones de evaulación y ZONEALARM 2007 comprado q posteriori del problema que tambien me ha dado error seguramente porque esos virus no me dejaban instalar nada o remito los el nombre de los virus desinfectados:

File Infection Status Path

1398281.exe Win32/Higlieder.AG suprimido C:\WINDOWS\exefld\

83132906.exe Win32/Higlieder.AG suprimido C:\WINDOWS\exefld\

flec003.exe Win32/Glieder.FP suprimido C:\WINDOWS\system32\

y el log del hijackthis por si os ayuda en algo

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\MAILFR~1\mantispm.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\PC-TV\WinManager\WinManager.exe

C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\hijacchis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O2 - BHO: XBTP00560 - {F0F1FCAA-CFBC-4f8a-8A21-FFC9AF03F16B} - C:\ARCHIV~1\ONLINE~2\tbu01716\ONLINE~1.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Archivos de programa\onlinepixel24 Toolbar\tbu01716\onlinepixel24.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Archivos de programa\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Matador] "C:\ARCHIV~1\MAILFR~1\mantispm.exe" -quiet

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O4 - Global Startup: WinManager.lnk = C:\Archivos de programa\PC-TV\WinManager\WinManager.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Archivos de programa\onlinepixel24 Toolbar\tbu01716\onlinepixel24.dll

O9 - Extra 'Tools' menuitem: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Archivos de programa\onlinepixel24 Toolbar\tbu01716\onlinepixel24.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Me podeis ayudar...Gracias

Mensaje por **msc hotline sat** » 06 Jul 2007, 23:54

Envianos estos sospechosos para analizar:

C:\WINDOWS\xhelper.dll

C:\Archivos de programa\onlinepixel24 Toolbar\tbu01716\onlinepixel24.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 6-07-2007

Mensaje por **msc hotline sat** » 09 Jul 2007, 15:23

Analizada la DLL recibida, pasa a ser controlada con el ELISTARA 14.37 de hoy, que estará disponible en esta web, para pruebas de evaluacion del foro, a partir de las 16 H GMT

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-07-2007

Oban40 · Mensaje por **Oban40** » 14 Jul 2007, 20:13

Hola amigos, he pasado el ELISTARA y tambien el BAGLE os reporto los resultados, pero he de comentaros que despues de reiniciar ya he podido instalalar el ZONEALARM, sin problemas.

Gracias.

Sat Jul 07 09:32:08 2007

EliBagle v10.43 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\PACO\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\PACO\DATOS DE PROGRAMA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle.dldr

Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jul 07 09:32:40 2007

EliBagle v10.43 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Jul 14 14:03:31 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2}" -> C:\Archivos de programa\onlinepixel24 Toolbar\tbu01716\onlinepixel24.dll

Eliminada Class, "{F0F1FCAA-CFBC-4f8a-8A21-FFC9AF03F16B}" -> C:\ARCHIV~1\ONLINE~2\tbu01716\ONLINE~1.DLL

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Sat Jul 14 14:04:18 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Microsoft ActiveSync\PEGCONV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Acceso Denegado, FakeAlert

Mensaje por **msc hotline sat** » 14 Jul 2007, 21:10

Pues tenias de todo, incluso Bagle, que por lo visto no eliminó bien el antivirus que indicó detectar el "Glieder" o Bagle... has acertado al probar tambien el ELIBAGLA !

Ojo, tienes un marrano que no se ha dejado eliminar:

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Acceso Denegado, FakeAlert

Mira si con un CTRL-X en el fichero seleccionado y CTRL-C sobre la papelera, pues moverlo a ella y luego vaciarla, sino habremos de arrancar con el CD de instalacion y desde la consola de recuperacion eliminarlo.

Por otro lado hay otro fichero sospechoso que no ha sido eliminado:

C:\WINDOWS\xhelper.dll

Ya lo pediamos para analizar, pero no parece que lo enviaras, pues no lo controlamos.

Mira si con un

Inicio -> Buscar -> Todos los ficheros y carpetas -> xhelper.dll

lo encuentras y nos lo envias, o si realmente no lo tienes, procederiamos a eliminar la clave que lo lanza.

saludos

ms, 14-07-2007

Oban40 · Mensaje por **Oban40** » 15 Jul 2007, 12:17

Buenos días:

Os acabo de enviar la muetra solicitada.

Saludos.

Mensaje por **msc hotline sat** » 15 Jul 2007, 23:46

Pues mañana, cuando entremos a trabajar en SATINFO, la analizaremos e informaremos

saludos

ms, 15-07-2007

Mensaje por **msc hotline sat** » 16 Jul 2007, 15:17

La muestra enviada pasa a ser controlada por el ELISTARA DE HOY 14.43 como malware XHELPER

saludos

ms, 16-07-2007

problemas con instalación de varios tipos de antivirus

problemas con instalación de varios tipos de antivirus

Resultado del ELISTARA

Muestra solicitada