Virus que elimina ejecutables y no permite extraibles(SOLVED

NaRanJiTo · Mensaje por **NaRanJiTo** » 09 Nov 2007, 22:17

Hola!

Ante todo decir que soy nuevo en este foro y me gustaría saludar a todo el mundo... :D

El problema que tengo es el siguiente:

Tras bajar de eMule un archivo RAR que NOD32 me decia que no contenía virus, lo extraigo y me ocurre lo siguiente a continuación:

-Cualquier nuevo RAR que escaneé me dice NOD32 que "NOD32.exe está modificado.Posiblemente infectado".

-Tras bajarme otra versión de evaluación, al extraer los archivos para instalarse,no puede ser ejecutado,me pone la ventana de windows de alerta:

"(106) Ha ocurrido un error mientras se descomprimía el archivo"(Osea que no lo puedo instalar de nuevo)

-Si le doy al icono de Spybot, me dice que está intentando encontrar el archivo, que tras mi verificación, ha sido desaparecido por arte de magia.

-Ejecutando Nanoscan me dice que no hay ningún virus.

-Ejecutando Totalscan me pone que no hay ningún virus, sino simples adwares de bajo riesgo.

-Si reinicio en Modo seguro a secas, no me deja (Me sale en la pantalla negra "Press ESC to cancel SPTD.sys" o algo asi, y presione o no presione ESC se me reinicia siempre,por lo que no lo puedo poner en modo a prueba de fallos o modo seguro)

-Reiniciando en modo a prueba de errores o modo seguro(Con la opción apagar el ordenador 1 minuto y con msconfig--->boot.ini--->/SAFEBOOT), me descargo nuevamente el spybot y el nod32 e incluso así tampoco me deja ni instalar el NOD32 y el Spybot si lo instala, pero automaticamente cuando acaba spybot.exe desaparece de nuevo misteriosamente...

-Si ejecuto directamente por ejemplo Spyware Doctor de PCTOOLS de repente se reinicia el ordenador solo, a lo que informar errores a windows me dice que es un problema de seguridad/virus.

Si en un principio NOD32 (actualizado) no me lo ha reconocido como vírus y después se ha infectado...que es lo que tengo?Un vírus de nueva generación? :roll: :roll:

Mensaje por **lucl** » 09 Nov 2007, 23:25

prueba lo primero de todo el elibagla para descartar un bagle, que suele fastidiar los antivirus, antiespias etc, y ademas no deja arrancar el pc en modo seguro, asi que en modo normal pasa elibagla y complementa analisis con elistara y elitriip, luego peganos el log que te dejaran en C infosat.txt saludos

http://www.zonavirus.com/descargas/elibagla.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 00:25

He ejecutado elibagla 10.69, y me pone que se ha detectado gusano BAGLE.

A continuación reinicio y con la búsqueda no localiza ninguno (pego infosat.txt):

[i]Fri Nov 09 23:49:30 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Nov 09 23:51:51 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\Drivers\HIDR.EXE.VIR --> Eliminado

Fri Nov 09 23:52:21 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 8894

Nº Total de Ficheros: 103705

Nº de Ficheros Analizados: 10348

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/i]

En cuanto aparece el escritorio, es como si se ejecutase el archivo que bajé del emule, es decir,sale una ventanita que pone "select a file to crack" y las carpetas para buscar un archivo...(Como si no se hubiese borrado, ese era el virus que hacia eso cuando se ejecutaba y eso que lo borré y vacié de la papelera de reciclaje)

Tras esto, ejecuto elitriip, que elimina tras el "si" las HOSTS, colas de impresión y tal...

Resultado de C:\Infosat.txt: (Quito las lineas eliminadas HOST para que no sea tan largo)

[i]No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Fri Nov 09 23:59:40 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 8821

Nº Total de Ficheros: 102957

Nº de Ficheros Analizados: 39330

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/i]

Me dice que me falta el parche de seguridad de windows (WMF)MS06-001, por lo que voy a windows update y no me deja(Me pone en la página:

"Este sitio no puede continuar porque no se están ejecutando uno o varios de los servicios de Windows:

Actualizaciones automáticas (permite al sitio buscar, descargar e instalar actualizaciones de alta prioridad para el equipo)

Servicio de transferencia inteligente en segundo plano (BITS) (permite que la descarga de las actualizaciones sea más rápida y que no aparezcan problemas si se interrumpe el proceso de descarga)

Registro de sucesos (mantiene un registro de las actividades de actualización que, si es necesario, ayuda a solucionar problemas")

Hago lo que me indica en services.msc, pero no puede iniciar los servicios porque pone que no se encuentran los dispositivos asociados a él(el servicio) o que están deshabilitados...

A pesar que me bajo por descarga directa el parche desde Firefox, al ejecutarlo me dice que está dañado.

Ejecuto Elistartpage,elimino TODO lo que me pide...

Resultado de C:\Infosat.txt:

[i] Sat Nov 10 00:13:01 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 10 00:13:08 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

Nº Total de Directorios: 8820

Nº Total de Ficheros: 102912

Nº de Ficheros Analizados: 41760

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/i]

Intento instalar de nuevo NOD32 y me pone lo mismo de antes,que ha ocurrido un error con el archivo ejecutable...

Creo firmemente que el virus sigue en memoria...

Y ahora que hago? :roll:

A pesar de que Elibagla me elimina el gusano, al reiniciar vuelve a aparecer...necesito otro ejecutable de SATINFO para alguna variante del maldito BAGLE???O será otro virus??

Muchas gracias :wink:

Mensaje por **msc hotline sat** » 10 Nov 2007, 08:04

Pues vemos varios malwares: tenias el troyano CELULAR, del messenger, tenias un bagle controlado que ya se eliminó, pero parece que tienes otro que solo se ha puesto en cuarentena, y del que te pedimos que nos envies muestras para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.69

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.69

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

pero al mismo tiempo, posteanos como respuesta de este Tema el log del HJT, para ver si tienes algo mas...

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 10-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 12:10

Muestras enviadas de madrugada.

HJT log:

Logfile of HijackThis v1.99.1

Scan saved at 12:10:51, on 10/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\Digital Imaging\Promotions\HPpromo.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Api\CONFIG~1\Temp\Rar$EX00.172\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPpromo psc 2500 series] "C:\Archivos de programa\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2500 series" -r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 12:29

P.D: Sigue apareciendome la ventanita "Select a file to crack" y si intento abrir el explorer en vez de Firefox, no se abre del todo, se queda colgado...

[quote="msc hotline sat"]Pues vemos varios malwares: tenias el troyano CELULAR, del messenger, ~~[b]~~tenias un bagle controlado que ya se eliminó[/b][/quote]

Si ejecuto de nuevo ELiBagle me dice "Detectado gusano BAGLE-Reinicie para completar su eliminación",pero al reiniciar...si vuelvo a ejecutarlo tras que me salga la ventanita,lo detecta de nuevo, es decir, nunca lo elimina.

Mensaje por **msc hotline sat** » 10 Nov 2007, 18:44

Pues elimina esta clave:

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y eso que dices de ""Select a file to crack"" huele a un crack que quizas utilizas ... desinstalalo, no aceptamos cracks !

Y posteanos en contenido de Infosat.txt para ver lo que encuentra el ELIBAGLA.

Nota: Siempre que pruebes estas utilidades de evaluacion, debe postearse el resultado (contenido del infosat.txt)

Posiblemente haya algun acceso denegado, lo cual esperamos ver en dicho log. Se recuerda que el Bagle usa RootKit, y es posible que no se vea a simple vista, en modo normal, mira de arrancar en modo seguro y pasa de nuevo el ELIBAGLA , pues asi es posible que veamos algo mas que de lo contrario nos oculta el RootKit

saludos

ms, 10-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 19:49

[quote="msc hotline sat"]y eso que dices de ""Select a file to crack"" huele a un crack que quizas utilizas ... desinstalalo, no aceptamos cracks ![/quote]

No es un crack que utilizo, era supuestamente un programa que bajé de eMule pero que está totalmente corrupto/fake y pone eso...

Aparte,ya eliminada la clave 016 indicada, procedo a poner el resultado de Elibagle:(C:\Infosat.txt)

[i] Sat Nov 10 19:45:09 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"[/i]

Log de Hijackthis tras quitar la clave eliminada:

Logfile of HijackThis v1.99.1

Scan saved at 19:44:52, on 10/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Api\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPpromo psc 2500 series] "C:\Archivos de programa\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2500 series" -r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Anti-keylogger 6.1] C:\Archivos de programa\Anti-keylogger\Anti-keylogger.exe /autorun

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Todo esto lo estoy haciendo en modo seguro, espero que al volver a modo normal no me vuelva a aparecer,como otras veces...

Un saludo!! :D

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 20:43

Nada que hacer...

Reiniciando en modo normal, ejecuto de nuevo ELibagle y otra vez me pone "Gusano BAGLE detectado"...

Que puedo hacer???Parece imposible eliminar al capullo este...

C:\Infosat.txt:

Sat Nov 10 20:40:01 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> ~~[b]~~Eliminado[/b] Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Elibagle pone que lo elimina, pero al rato vuelve a aparecer y reinicie o no para completar la desinfección como indica, sea en modo seguro o no,no lo elimina... :cry:

Será alguna variante nueva??

P.D:Los archivos ya los mandé ayer de madrugada para su inspección.

Mensaje por **msc hotline sat** » 10 Nov 2007, 21:27

Sí, posiblemente se trata de una variante nueva que se oculta con un RootKit

Mira, una vez acabes de pasar el ELIBAGLA, puedes crear las carpetas HIDR.EXE y SROSA.SYS , ambas dentro de C:\WINDOWS\SYSTEM32\DRIVERS\ y asi impediras que puedan volver a recrearse dichos ficheros allí, ya que por lo visto vuelven a crearse cuando reinicias

El lunes analizaremos las muestras e informaremos.

Cuentanos el resultado de lo indicado, gracias

saludos

ms, 10-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 10 Nov 2007, 21:43

Lo paso de nuevo en modo seguro?

Respecto al modo seguro (/SAFEBOOT)vienen 4 opciones:

-Minimo

-Red

-Reparación

-Minimo(Interfaz Interactiva)

Cual escojo?

Respecto a las carpetas a crear,vacias entiendo no?

Con mayusculas o minusculas?

Gracias :)

Mensaje por **lucl** » 10 Nov 2007, 23:20

pasa el elibagla en modo NORMAL, y la carpeta creala vacia pero con los nombres exactamente igual a como te los detectan y eliminan es decir en mayusculas, y nos cuentas el resultado saludos

Mensaje por **msc hotline sat** » 11 Nov 2007, 09:47

Y nada de modificar el apartado SAFEBOOT teniendo el Bagle ! Podrias entrar en un callejon sin salida !!!

Mira lo que decimos en MODO SEGUR0 :

Solo acceder a él pulsando repetidamente F9 al arrancar, y si asi no se puede, usar el ELIBAGLA en modo normal .

Pero ademas, se te pide que hagas dos carpetas dentro de la carpeta en cuestion, asi bloquearas la regeneracion del Bagle y tras ello si que puede probar el ELIBAGLA de nuevo, a ver que dice

saludos

ms, 11-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 12 Nov 2007, 09:34

Buenos dias

Tras crear las dos carpetas, parece que el virus no sigue totalmente activo, pero si es cierto que la ventanita asociada a él(La de select a file to crack) si que sigue saliendo, es como si no se hubiese eliminado del todo...

Reporte Elibagla:

Mon Nov 12 09:32:20 2007

EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Si paso el Elibagle tras probar/reiniciar de nuevo, siempre es el mismo log en C:\Infosat.txt, es decir, que por alguna razón, no puede eliminarlo del todo...

Que puedo hacer para erradicarlo totalmente?

Gracias

NaRanJiTo · Mensaje por **NaRanJiTo** » 12 Nov 2007, 09:44

Por cierto:

El Spybot siempre que lo ejecuto tras reiniciar me aparece el mismo:(aunque lo elimine)

"Microsoft.WindowsSecurityCenter_disabled"

(SBI $2E20C9A9) - HKEY_LOCAL_MACHINE\CurrentControlSet\Services\wscsvc\Start

No se si será parte del virus,pero hay algo que no acaba de eliminarse... :cry:

Mensaje por **msc hotline sat** » 12 Nov 2007, 10:34

Hemos recibido las muestras y te vamos a subir en 10 minutos nueva version del ELIBAGLA 10.70 que deseamos pruebes y nos informes posteando nuevo infosat.txt

Te avisaremos cuando esté subida

ms.

Mensaje por **msc hotline sat** » 12 Nov 2007, 10:43

Junto con el ELISTARA que el viernes no subió bien, acabamos de subir el ELIBAGLA que controla las nuevas muestras.

Pruebalo y comentanos elr esultado, gracias

saludos

ms, 12-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 12 Nov 2007, 11:25

Resultado de Elistara y Elibagle(nuevas versiones):

Mon Nov 12 10:57:18 2007

EliStartPage v15.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):(Elimino HOSTS para que no sea tan largo)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(Parche ya instalado posteriormente)

Mon Nov 12 11:00:46 2007

EliStartPage v15.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\Drivers\epfwtdi\EPFWTDI.SYS --> Eliminado, PWS-JA

C:\WINDOWS\system32\drivers\EPFWTDI.SYS --> Eliminado, PWS-JA

Nº Total de Directorios: 8856

Nº Total de Ficheros: 107890

Nº de Ficheros Analizados: 42001

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mon Nov 12 11:17:03 2007

EliBagle v10.70 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Nov 12 11:17:11 2007

EliBagle v10.70 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Nero\Lib\NEROCHECK.EXE --> Eliminado Bagle

C:\Archivos de programa\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.69 --> Eliminado Bagle

C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V10.69 --> Eliminado Bagle (rootkit)

Nº Total de Directorios: 8855

Nº Total de Ficheros: 107900

Nº de Ficheros Analizados: 9985

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Si detecta virus en las C:\muestras, hay que eliminar dichos ficheros en esa carpeta?

Gracias :D

Mensaje por **lucl** » 12 Nov 2007, 12:11

Si ya los has enviado no claro esta, puesto que ya los borran las herramientas al haber implementado su control en ellas, dinos si mejoro tu pc, saludos

Mensaje por **msc hotline sat** » 12 Nov 2007, 12:34

Ya lo elimina él, como has podido ver. Para esto se ha hacen las nuevas versiones, para detectar y eliminar lo que las versiones anteriores pedian muestras,

Bueno, pues entre uno y otro se ha hecho mas limpieza, dinos ahora si tras reiniciar persiste algun problema.

saludos

ms, 12-11-2007

NaRanJiTo · Mensaje por **NaRanJiTo** » 12 Nov 2007, 15:09

He de decir que ya no tengo ningún problema de que se me aparezcan ventanitas, no me aparece lo de Microsoft.WindowsSecurityCenter_disabled,el spybot sigue sin desaparecer...por lo que puedo dar por concluido el problema tras haber ejecutado las nuevas versiones.

Muchísimas gracias por la ayuda prestada.

Un saludo!!! :wink:

Mensaje por **msc hotline sat** » 12 Nov 2007, 15:25

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 12-11-2007