Antivirus dejo de funcionar

Responder
Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Antivirus dejo de funcionar

Mensaje por Gramos » 25 Oct 2007, 18:21

Antes que nada reciban saludos.

Hacia tiempo que no requeria de ustedes pero ahora estoy de nuevo en problemas. En el ordenador de mi trabajo, note de repente que el antivirus dejo de funcionar y acudí a sus herramientas, al intentar pasar a la maquina a modo seguro no pude hacerlo y recorde el bagle, intenté restaurar el sistema a un estado anterior y no lo logré por lo que pasé el EliBaglA y detectó lo siguiente

Thu Oct 25 10:28:05 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"



Thu Oct 25 10:28:16 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Oct 25 10:30:44 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.



Thu Oct 25 10:30:50 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1749

Nº Total de Ficheros: 20965

Nº de Ficheros Analizados: 5891

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 25 10:35:46 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Oct 25 10:35:51 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1749

Nº Total de Ficheros: 20963

Nº de Ficheros Analizados: 5889

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 25 10:41:38 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Abro el tema porque me pide mandar muestras y porque aun me impide instalar un antivirus

Espero comentarios.
Siempre somos aprendices :)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Oct 2007, 18:49

Pues ya ve que se le pide que nos envie muestras de estas nuevas variantes



Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.62



Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.62





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







Tras analizarlas implementaremos su control y eliminaicon en nuestras utilidades, de lo cual informaremos en el foro





saludos



ms, 25-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 25 Oct 2007, 20:39

Muestras enviadas... espero comentarios
Siempre somos aprendices :)

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 25 Oct 2007, 21:11

Pues atento a tu post mañana que te diran algo, saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Oct 2007, 21:12

Sí, hoy no han llegado a tiempo ! :wink:



mañana las vemos



saludos



ms, 25-10-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Oct 2007, 11:48

Analizadas las muestras recibidas son variantes de Bagle que pasamos a controlar con la nueva version de ELIBAGLA 10.63 de hoy,



Esta tarde pruebala y tras ello nos posteas el infosat.txt y nos dices si ya podemos dar por finalizado el Tema



saludos



ms, 26-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 27 Oct 2007, 06:40

Pase el elibagla 10.63 y elimino un archivo con el bagle... aunque de momento no tengo acceso al info el lunes que regrese al trabajo lo publico... despues de reiniciar corri el antivirus y no detecto ningun intruso (AVG 7.5)... sin embargo el equipo sigue sin poder iniciar en modo seguro y cada vez que lo intento se reinicia... solo puedo iniciar en modo normal
Siempre somos aprendices :)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 27 Oct 2007, 07:05

Pues a ver si hay algo mas...



Eso de que sigues sin poder arrancar en modo seguro debía haberse arreglado, si persiste, malo, algo nuevo no conocido puede que hyan hecho, ya veremos.



El lunes, cuando hayas posteado el infosat, sobre todo si pide que envies otra muestra, hazlo, sino, posteanos log del HJT, a ver qué se vé.


[quote][b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos [/quote]


saludos



ms, 27-10-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Oct 2007, 10:26

Recibido nueva muestra del Bagle, prueba el ELIBAGLA 10.63 con el que lo controlamos, y nos informas, gracias



saludos



ms, 29-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 29 Oct 2007, 14:19

el resultado de la aplicacion del bagla,



Fri Oct 26 12:28:23 2007

EliBagle v10.63 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1454471165-1757981266-725345543-1003\DC3.ZIP --> Eliminado Bagle



Nº Total de Directorios: 1788

Nº Total de Ficheros: 21913

Nº de Ficheros Analizados: 5920

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Oct 29 07:09:36 2007

EliBagle v10.63 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Oct 29 07:09:40 2007

EliBagle v10.63 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1783

Nº Total de Ficheros: 22004

Nº de Ficheros Analizados: 5917

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



el resultado del hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 07:18:28 a.m., on 29/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Escolar\Mis documentos\Mis archivos recibidos\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {F09BFD07-20B5-46D8-A6D5-BE4EF22F1F4D} (DGTx.uc1) - http://members.driverguide.com/director/dispatch_getfile.php?mode=toolkit_lite

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe



Espero comentarios
Siempre somos aprendices :)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Oct 2007, 14:56

Pues elimina estas claves:



O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)



O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por ulrimo dinos, tras reiniciar, si ya puedes arrancar en modo seguro...



saludos



ms, 29-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 29 Oct 2007, 20:02

despues de seguir las instrucciones anteriores y por iniciativapropia :oops: reparar la instalacion del windows desde el cd... se pudo iniciar sesion en modo seguro...pero,,, ahora no actualiza windows :shock:

el windows installer 3.1 no se instala
Siempre somos aprendices :)

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 29 Oct 2007, 20:07

algunas actualizaciones se deben instalar solas, no recuerdo bien si es el caso de windows installer 3.1 pero mira en este link y trata de descargarlo a ver si puedes, saludos



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?displaylang=es&FamilyID=889482fc-5f56-4a38-b838-de776fd4138c

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 30 Oct 2007, 11:49

Sí, la instalacion o en este caso Reparacion del windows, no contempla el microsoft Windows Installer, es cosa aparte.



Reinstalalo como indica lucl si indicas que tines problemas con él.



Y ya que has tomado la iniciativa de REPARAR (muy bien, si lo haces como indicamos):




[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]




y a titulo de comentario, cabe señalar que lo que no se arregla con una REPARACION son las claves de registro, estas no son restauradas las modificadas, ni creadas las que faltaran, ni eliminadas las malas, solo se sobreescriben los ficheros de sistema por los originales, y claro, deben parchearse luego con los ultimos parches, como ya se indica.



Pero ello solo arregla el S.O., si hay virus gusanos aparte, estos quedan y deben eliminarse con las utilidades antivirus correspondientes.



saludos



ms, 30-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 31 Oct 2007, 16:54

instalé el installer 3.1 asi como los parches ms06-001 y ms06-007

el sistema marcó que estaba buscando actualizaciones y empezo a descargarlas, sin embargo nunca aparecio el aviso para que las instalara, Al apagar la maquina, indicó que instalaría 81 actualizaciones y que no se apagara la maquina en ese proceso y asi lo hice... sin embargo al dia siguiente note que no se había instalado ni una sola de las actualizaciones automaticas ya q1ue al apagar la computadora vuelve a indicar que se instalaran las 81 dichosas actualizaciones

Tendré que formatear el ordenador?
Siempre somos aprendices :)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Oct 2007, 17:01

Se le habian actualizado alguna vez los parcxhes con este sistema operativo en este ordenador ???



Puede que no esté validado ...





validacion de sistemas operativos microsoft:



https://support.microsoft.com/es-es/help/15087/windows-genuine



saludos



ms, 31-10-2007

Avatar de Usuario
Gramos
Mensajes: 118
Registrado: 23 Jul 2006, 21:05
Ubicación: Nuevo Laredo, México

Mensaje por Gramos » 01 Nov 2007, 14:16

antes de presentarse la infeccion con el bagle el ordenador trabajaba correctamente, salvo que en ocasiones el mouse se volvia loco... pero se solucionaba con reiniciar el equipo.

Al reparar el sistema despues de la infeccion, tengo entendido que las actualizaciones se pierden y deben de volverse a instalar y fue cuando sucedio el problema... el sistema es original y con licencia.

He notado que en el administrador de tareas de windows el proceso wauclt o no se que... el que actualiza... corre dos veces en el inicio... uno con el usuario system (Normal) y otro con el usuario "Escolar" (nombre de la computadora), tomando muchos recursos durante el inicio. No se si esto sea normal
Siempre somos aprendices :)

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 01 Nov 2007, 20:13

entra aqui y mira si asi puedes validar bien del todo tu xp, nos comentas si te ayudo en algo, saludos





http://www.microsoft.com/en/us/default.aspxresources/howtotell/windows/default.aspx?displaylang=es

Responder

Volver a “Foro Virus - Cuentanos tu problema”