Problemas con .exe

[leavn]

Hola, soy nuevo acá. Estuve buscando en varias páginas y no encontré mi problema. El tema es así: Tenía el AV caducado (AVG) y quise instalar NOD32, luego lo desinstalé el mismo día intenté instalar norton y kaspersky, pero antes me pedía desinstalar el NOD. Lo hice y ahora no puedo instalar ningún AV, ya que corre todo y en el momento de crear el .exe, no lo crea. Intento ir al panel de control y no me deja entrar, ya que se pone la pantalla azul con varias inscripciones en letras blancas, por lo que tengo que reiniciar. Además en cada carpeta o página de Internet que esté, "comienza a titilar la pantalla", no sé si me explico. Quería consultar que puedo hacer. Muchas gracias.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Saludos.

[lucl]

vamos a descartar que tengas un bagle, pasate esta herramienta y nos pegas el log que te dejara en C infosat.txt. pero con el pc encendido en modo Normal, saludos





http://www.zonavirus.com/descargas/elibagla.asp

[leavn]

Gracias a los 2 por responder, lo que hice fue lo que me parecio más sencillo...lo de lucl.

Esto es lo que que apareció luego de correr el elibagla:





Sun Aug 12 17:28:01 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\ROSA.SYS.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Aug 12 17:28:31 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Espero su respuesta. gracias.

[leavn]

Tambien hice lo que me dijo Claudia34.

Ahí va lo que salió:



Sun Aug 12 17:28:01 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\ROSA.SYS.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Aug 12 17:28:31 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 12 18:19:37 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{3F4D4F88-0198-4921-B630-957F3EB814E0}" -> NULL1

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"



Sun Aug 12 18:22:19 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com



Sun Aug 12 18:22:29 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Leandro\Desktop\Leandro\Crack For XP\kb905474_1.5.540.0.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Leandro\Desktop\Leandro\Dragon Naturally Speaking 8-en español - serial y manual muy sencillo-perfecto-\cd1y2\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Leandro\Desktop\Leandro\DVD - Video\Avi converter\Setup\neoDVD\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Leandro\Desktop\Leandro\Juegos\EditorEng.exe --> Eliminado, Bifrose (dropper)

C:\Program Files\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\WINDOWS\system32\UAService7.exe --> Eliminado, Malware(uaservice)





Logfile of HijackThis v1.99.1

Scan saved at 06:42:53 p.m., on 12/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Leandro\Desktop\Leandro\AV foro\EliStarA.exe

C:\Documents and Settings\Leandro\Desktop\Leandro\AV foro\EliStarA.exe

C:\Documents and Settings\Leandro\Desktop\Leandro\AV foro\HijackThis.exe



O1 - Hosts: AmsServer

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O3 - Toolbar: (no name) - {CB789373-04D5-4ef4-9C16-871463FD0830} - (no file)

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: IdiomaX Translation ToolBar - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:\Program Files\Common Files\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [DVD43] "C:\Program Files\DVD Region+CSS Free\DVDRegionFree.exe" /hidden

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [IdiomaX Office] C:\Program Files\IdiomaX\Translation Suite 4.0\IdxOffice.exe

O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\Program Files\Kaspersky Lab\AVP6\avp.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Leandro\Desktop\Leandro\EliBaglA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - Startup: Herramienta de búsqueda de soportes de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Ayudante de Traducción IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrasWord.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Traductor de Correos IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrdLaunch.exe

O4 - Global Startup: Traductor de Web IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrslaWeb.exe

O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_img.htm

O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_all.htm

O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_sel.htm

O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_file.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\AVP6\scieplugin.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe

O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe

O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe (file missing)

O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe (file missing)

O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Show/Hide Translation ToolBar - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:\Program Files\Common Files\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) - https://www.windowsonecare.com/install/cli/0.8.0794.38/WinSSWebAgent.CAB

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadAccess/ie/Bridge-c139.cab

O16 - DPF: {2EB1E425-74DC-4DC0-A9E1-03A4C852E1F2} (CPlayFirstTriJinxControl Object) - http://download.games.yahoo.com/games/web_games/playfirst/trijinx/TriJinx.1.0.0.55.cab

O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://www.fotowire.com/download/client/uploader/ImageUploader3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/DLHelper/version7/DLHelper.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v10_es.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7B451F-1EB0-470C-A749-668CE9684075}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS1\Services\Tcpip\..\{CE7B451F-1EB0-470C-A749-668CE9684075}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS2\Services\Tcpip\..\{CE7B451F-1EB0-470C-A749-668CE9684075}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS3\Services\Tcpip\..\{CE7B451F-1EB0-470C-A749-668CE9684075}: NameServer = 200.42.0.108,200.42.0.109

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - (no CLSID) - (no file)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)



Gracias por su ayuda

[leavn]

Gracias por su ayuda. Luego de probar lo que me dijeron, ya no aparece la pantalla azul cuando quiero agregar o quitar programas, ni "titila la pantalla", pero...No puedo ingresar a ningún acceso directo, sólo con el botón derecho, no puedo abrir programas del Office 2007, sólo mediante los íconos en "program files". La máquina está enlentecida y no puedo instalar ningún AV (ya probé desinstalando todos los anteriores, que podían haber quedado a medio instalar).

Por favor, ayuda!!!!!!!!!!!!!!

Gracias.

[lucl]

pues tenias varios bagles si, y debe quedarte alguno pues te pedimos muestras, asi que procede a enviarnos esto que te pidio



Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ROSA.SYS.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.



sigue las indicaciones de este link para el envio



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas vuelve a repetir estas operaciones, pasa de nuevo arrancando el pc en modo seguro elistara y elitriip



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



https://foros.zonavirus.com/como-arrancar-en-modo-seguro-

w98-xp-w2000-vt5266.html



reinicia y una vez encendido el pc pasa el elibagla, pero en modo NORMAL , es decir el elibagla no lo pases en modo seguro es muy importante, y peganos los logs resultantes, luego una vez echa esta limpieza ejecuta hijackthis y peganos el nuevo log, y trata de instalar un nuevo antivirus a ver si por fin puedes, o prueba con un antiespias , es para ver si puedes poner algo . y ten paciencia que podremos con el. saludos

[leavn]

Bueno, ya envie por mail un archivo rar llamado "virus", con las 3 muestras que me pedian, espero que lo hayan recibido, mientras voy realizando las operaciones que me indicaron.

Gracias

[leavn]

Hice todo lo que me dijiste, no detecto ningun virus pero sigue andando igual que en la respuesta anterior, incluso no me muestra la barra de direcciones en internet y no puedo clickear a links directos.

Te mando los logs.





Sun Aug 12 17:28:01 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\ROSA.SYS.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\LEANDRO\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Aug 12 17:28:31 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 12 18:19:37 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{3F4D4F88-0198-4921-B630-957F3EB814E0}" -> NULL1

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"



Sun Aug 12 18:22:19 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com



Sun Aug 12 18:22:29 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Leandro\Desktop\Leandro\Crack For XP\kb905474_1.5.540.0.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Leandro\Desktop\Leandro\Dragon Naturally Speaking 8-en español - serial y manual muy sencillo-perfecto-\cd1y2\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Leandro\Desktop\Leandro\DVD - Video\Avi converter\Setup\neoDVD\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Leandro\Desktop\Leandro\Juegos\EditorEng.exe --> Eliminado, Bifrose (dropper)

C:\Program Files\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\WINDOWS\system32\UAService7.exe --> Eliminado, Malware(uaservice)



Mon Aug 13 15:41:29 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Aug 13 15:41:40 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Aug 13 16:07:38 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"



Mon Aug 13 16:07:44 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Logfile of HijackThis v1.99.1

Scan saved at 04:25:07 p.m., on 13/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe



O1 - Hosts: AmsServer

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O3 - Toolbar: (no name) - {CB789373-04D5-4ef4-9C16-871463FD0830} - (no file)

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: IdiomaX Translation ToolBar - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:\Program Files\Common Files\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [DVD43] "C:\Program Files\DVD Region+CSS Free\DVDRegionFree.exe" /hidden

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [IdiomaX Office] C:\Program Files\IdiomaX\Translation Suite 4.0\IdxOffice.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - Startup: Herramienta de búsqueda de soportes de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Ayudante de Traducción IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrasWord.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Traductor de Correos IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrdLaunch.exe

O4 - Global Startup: Traductor de Web IdiomaX.lnk = C:\Program Files\IdiomaX\Translation Suite 4.0\TrslaWeb.exe

O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_img.htm

O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_all.htm

O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_sel.htm

O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_file.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe

O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe

O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe (file missing)

O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe (file missing)

O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Show/Hide Translation ToolBar - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:\Program Files\Common Files\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) - https://www.windowsonecare.com/install/cli/0.8.0794.38/WinSSWebAgent.CAB

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadAccess/ie/Bridge-c139.cab

O16 - DPF: {2EB1E425-74DC-4DC0-A9E1-03A4C852E1F2} (CPlayFirstTriJinxControl Object) - http://download.games.yahoo.com/games/web_games/playfirst/trijinx/TriJinx.1.0.0.55.cab

O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://www.fotowire.com/download/client/uploader/ImageUploader3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/DLHelper/version7/DLHelper.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v10_es.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7B451F-1EB0-470C-A749-668CE9684075}: NameServer = 200.42.0.108,200.42.0.109

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - (no CLSID) - (no file)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)



Espero respuesta...

Gracias

[Claudia34]

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/

[lucl]

haz fix cheked en estas entradas



O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe

O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe



salvo que sea algo que tu conoces, ya nos diras algo, tenias bastantes troyanos deberias notar alguna mejoria desde luego, y luego el explorador no parece que este configurado, usas otro? no lo parece... el elistara deberia restablecerte el explorer, a las preguntas de elistara le diste a todo que si? si no es asi repite de nuevo y deja que te limpie todo bien , nos vas contando.... saludos

[leavn]

Ya borre lo que indicaste e hice correr el ad spy-ware

Con respecto al elistara, cuado lo pongo queda bastante tiempo corriendo, como cargando, unos 10-15 minutos, pero nunca me realizo una pregunta...es normal?

Gracias

[flacoroo]

borra estas entradas conb FIX:



O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O3 - Toolbar: (no name) - {CB789373-04D5-4ef4-9C16-871463FD0830} - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe (file missing)



eliminas estas claves que estan inservibles.....solo te recuerdo que debes eliminar todos los archivos temporales de internet y de tu disco duro, al igual que los cookies por si hay alguno correupto, bajate el spybot de esta pagina principal y lo instalas y despues lo actualizas y lo ejecutas reiniciando tu compu en modo seguro......

[leavn]

Bueno ya hice correr el AV online, pero no me 8 virus que detecta...

Tambien borre los ultimos 5 con fix, pero no puedo bajar el spybot, no me deja abrir con links...

Que hago?????????

[lucl]

cogelo de aqui saludos



http://www.zonavirus.com/descargas/spybot-sd.asp

[leavn]

Lo pude bajar entrando a traves del mozilla, pero cuando lo instalo, pasa lo mismo que con los AV, carga todo y al final, se corta y no carga el .exe. Pone un mensaje de error con un codigo que es algo asi: 0800445...me parece.

Otra cosa, dejé cargando el elistara unos 30 minutos, pero no pasa nada, o sea, pone un caudrito como cargando y queda ahi. ??????????????????

[flacoroo]

bajate esta herramienta [url=http://www.zonavirus.com/datos/descargas/92/elirestr.asp]Elirestr[/url] la ejecutas y trata de instalar el spybot...



tambien checa este link [url=http://www.eset.com/onlinescan/index.php]antivirus on-line de Nod32[/url] y sigue los pasos, cuando salgan las casillas las habilitas...



en caso de que no con tus disco de windows reinstalas tu windows por si tienes alguno programa corrupto y por eso no te deja instalar nada....

[msc hotline sat]

Recibidas las muestras enviadas, han resultado ser nuevas variantes de BAGLE, las cuales pasamos a controlar desde la nueva version del ELIBAGLA 10.48:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







saludos



ms, 1-09-2007