Hola.
Tengo dos discos, uno con winxp y otro con vista. los dos tienen el nod32 actualizado y configurado para que lo miren todo.
el otro dia salio en vista un mensaje diciendo que no funcionaba el centro de seguridad, el antiviurs, las actualizaciones y el defender estaban apagados. Al mirar la lista de servicios estos estaban deshabilitados.
Desde el winxp, donde si funciona el nod32, comprobe el disco de vista y no encontre nada ni tampoco con el adaware.
no me deja instalar el nod ni el avp (siempre hay errores o falta algun archivo) y tampoco funcionan los online por el mismo motivo
he pasado desde el xp el elibagla, eletriip elistara y solo ha encontrado un navhelper el elistarpage
ahora lo probare desde el modo seguro del vista y os comentare si encuentra algo mas
he de mirar algo mas?
muchas gracias pro vuestra ayuda!!!
VIRUS QUE ELIMINA ANTIVIRUS
Debes pegarnos los logs que tienes en C infosat.txt de las herramientas que pasaste. Ademas te advierto que es posible que no te detecten nada en el vista puesto que aun no damos soporte a este software. Pero tu comentanos igualmente si te encuentran algo y peganos los logs. Y ejecuta hijackthis para que veamos que claves tienes , saludos
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Son muchos los virus y troyanos que desactivan el antivirus, y no solo eso, sino que algunos eliminan alguno de sus ficheros de forma que queda corrupto y ha de desinstalarse totalmente para volverlo a instalar.
Pero a diario aparecen nuevas muestras de Bagle, de las que el ELIBAGLA da cuenta, eliminando y restaurando las claves si lo conoce y pidiendo muestra de nuevas variantes mediante deteccion heuristics.
Estaría mas claroi si nos dijera que no puede arrancar en modo seguro, que es otras de sus acciones, modificar la clave del SafeBoot, pero igualmente en la duda pruebe el ELIBAGLA y nos informa del resultado:
ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 31-10-2007
nota: en funcion del resultado, si no detecta nada, posteenos el log del HJT:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos. ms.
Pero a diario aparecen nuevas muestras de Bagle, de las que el ELIBAGLA da cuenta, eliminando y restaurando las claves si lo conoce y pidiendo muestra de nuevas variantes mediante deteccion heuristics.
Estaría mas claroi si nos dijera que no puede arrancar en modo seguro, que es otras de sus acciones, modificar la clave del SafeBoot, pero igualmente en la duda pruebe el ELIBAGLA y nos informa del resultado:
ELIBAGLA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 31-10-2007
nota: en funcion del resultado, si no detecta nada, posteenos el log del HJT:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola de nuevo.
Bueno, pues ya he pasado las tres herramientas.
Adjunto los archivos y los logs
Con vista hay bastantes problemas de permisos de acceso
Al parecer si que habia un bicho suelto .... jjajajaaaa, ahora probare a ver si se deja instalar el antiviurs y ya os comento algo mas
les he puesto extension jpg para poder subirlos
hijack:
Logfile of HijackThis v1.99.1
Scan saved at 11:42:05, on 31/10/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\ELISTARA.10112007.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\ELITRIIP.10112007.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F32F396B-445B-4B8A-AD3B-DC8CA2785E29}: NameServer = 192.168.0.1,80.58.0.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
gracias!
Bueno, pues ya he pasado las tres herramientas.
Adjunto los archivos y los logs
Con vista hay bastantes problemas de permisos de acceso
Al parecer si que habia un bicho suelto .... jjajajaaaa, ahora probare a ver si se deja instalar el antiviurs y ya os comento algo mas
les he puesto extension jpg para poder subirlos
hijack:
Logfile of HijackThis v1.99.1
Scan saved at 11:42:05, on 31/10/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\ELISTARA.10112007.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\ELITRIIP.10112007.EXE
E:\DOWNLOADS\p2p\ACABATS\ANTI ANTIVIRUS\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F32F396B-445B-4B8A-AD3B-DC8CA2785E29}: NameServer = 192.168.0.1,80.58.0.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
gracias!
- Adjuntos
-
- InfoSat.txt
- (1.97 KiB) Descargado 11 veces
Última edición por TCOS el 31 Oct 2007, 12:59, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para otra vez, el infosat.txt tambien posteelo con un copiar y pegar:
https://foros.zonavirus.com/viewtopic.php?f=1&t=17488
Bueno, pues acertamos, tenía Bagle, y uno no controlado, por lo que necesitamos que nos envie estas muestras que se le pidem:
[b][i]Por favor, envienos una muestra del fichero C:\Muestras\HIDR.EXE.Muestra EliBagle v10.65
Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.65[/i] [/b]
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Ahora analizo el log del HJT a ver si vemos algo mas
Es VISTA pero aparentemente está limpio
Cuando recibamos las muestras solicitadas, procederemos en consecuencia.
Si es esta mañana podremos incluirlas en el ELIBAGLA 10.66 DE HOY
SALUDOS
MS, 31-10-2007
Bueno, pues acertamos, tenía Bagle, y uno no controlado, por lo que necesitamos que nos envie estas muestras que se le pidem:
Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.65
->
Ahora analizo el log del HJT a ver si vemos algo mas
Es VISTA pero aparentemente está limpio
Cuando recibamos las muestras solicitadas, procederemos en consecuencia.
Si es esta mañana podremos incluirlas en el ELIBAGLA 10.66 DE HOY
SALUDOS
MS, 31-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola de nuevo, y gracias de nuevo.
Os he enviado los archivos, esta vez a la direccion correcta
Perdonad mi error al enviarlos al foro directamente, no me di cuenta de ello
Ya funciona el antivirus, hare un par de pasadas tambien con unos online por si las moscas
Si puedo encontrar el archivo culpable, tambien os lo hare llegar!
Os he enviado los archivos, esta vez a la direccion correcta
Perdonad mi error al enviarlos al foro directamente, no me di cuenta de ello
Ya funciona el antivirus, hare un par de pasadas tambien con unos online por si las moscas
Si puedo encontrar el archivo culpable, tambien os lo hare llegar!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibidas las muestras, se entregan a procesos, se incluirá su control y eliminacion en el ELIBAGLA de hoy 10.66 que estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus, a partir de esta tarde a partir de las 19 h GMT
saludos
ms, 31-10-2007
saludos
ms, 31-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ya subidas las utilidades de hoy:
https://foros.zonavirus.com/nuevas-versiones-de-utiliades-elistara-1496-elibagla-1066-vt22070.html?highlight=
saludos
ms, 31-10-2007
saludos
ms, 31-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Se reciben nuevas muestras de este forero, aunque no parece que tengan relacion con este Tema, pero es el único que tiene abierto ...
Se pasan a controlar con el ELITRIIP 4.24 de hoy como IRCBOT.AFV
A partir de las 19 h de hoy puede descargarlo y probarlo
saludos
ms, 28-12-2007
Se pasan a controlar con el ELITRIIP 4.24 de hoy como IRCBOT.AFV
A partir de las 19 h de hoy puede descargarlo y probarlo
[quote]http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
saludos
ms, 28-12-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online